Siber Muhbir

Cado güvenlik araştırmacısı Matt Muir, The Hacker News ile paylaşılan bir raporda, "Saldırganlar, Uzaktan Kod Yürütme (RCE) saldırıları gerçekleştirmek ve yeni ana bilgisayarlara virüs bulaştırmak için yaygın yanlış yapılandırmalardan yararlanarak ve N günlük bir güvenlik açığından yararlanarak istismar kodu yayınlamak için bu araçlardan yararlanıyor" dedi.

Etkinlik, bulut güvenlik şirketi tarafından Spinning YARN olarak kodlandı ve TeamTNT, WatchDog ve Kiss-a-dog adlı bir kümeye atfedilen bulut saldırılarıyla örtüşüyor.

Her şey, hassas Confluence, Docker, Hadoop YARN ve Redis ana bilgisayarlarının tanımlanmasını ve kullanılmasını otomatikleştirebilen dört yeni Golang yükünün dağıtılmasıyla başlar. Yayıcı yardımcı programlar, bu hizmetleri avlamak için masscan veya pnscan'den yararlanır.

Muir, "Docker güvenliğinin ihlali için, saldırganlar bir kapsayıcı oluşturuyor ve ondan temeldeki ana bilgisayara kaçıyor" dedi.

İlk erişim daha sonra kötü amaçlı işlemleri gizlemek, Platypus açık kaynaklı ters kabuk yardımcı programını bırakmak ve nihayetinde XMRig madencisini başlatmak için libprocesshider ve diamorphine gibi rootkit'leri yüklemek için ek araçların konuşlandırılmasının yolunu açar.

Saldırı zinciri ayrıca, diğer şeylerin yanı sıra, güvenlik duvarlarını devre dışı bırakmak, kabuk komut geçmişini silmek, SELinux'u devre dışı bırakmak ve giden DNS istekleri üzerindeki kısıtlamaları kaldırmak için komutlar çalıştırarak sistemi ek uzlaşma için zayıflatma stratejilerini de içerir.

Şirket, "Saldırganların, bulut ortamlarında dağıtılan web'e yönelik hizmet türlerini anlamak, bu hizmetlerde bildirilen güvenlik açıklarını takip etmek ve bu bilgiyi hedef ortamlarda bir yer edinmek için kullanmak için önemli ölçüde zaman harcadıkları açıktır" dedi.

Gelişme, Uptycs'in 8220 Gang'in Mayıs 2023'ten Şubat 2024'e kadar bulut altyapısını hedef alan bir saldırı dalgasının parçası olarak Apache Log4j (CVE-2021-44228) ve Atlassian Confluence Server and Data Center'daki (CVE-2022-26134) bilinen güvenlik açıklarından yararlandığını ortaya çıkarmasıyla geldi.

Güvenlik araştırmacıları Tejaswini Sandapolla ve Shilpesh Trivedi, "Grup, savunmasız uygulamalar için internet taramalarından yararlanarak, bulut sistemlerine potansiyel giriş noktalarını belirliyor ve yetkisiz erişim elde etmek için yamalanmamış güvenlik açıklarından yararlanıyor" dedi.

"İçeri girdikten sonra, bulut ortamlarında nasıl gezinecekleri ve bunları kendi avantajlarına nasıl kullanacakları konusunda derin bir anlayış sergileyen bir dizi gelişmiş kaçınma tekniği kullanıyorlar. Bu, güvenlik uygulamalarını devre dışı bırakmayı, güvenlik duvarı kurallarını değiştirmeyi ve bulut güvenlik hizmetlerini kaldırmayı ve böylece kötü amaçlı etkinliklerinin tespit edilmemesini sağlamayı içerir."

Hem Windows hem de Linux ana bilgisayarlarını ayıran saldırılar, bir kripto para madencisi dağıtmayı amaçlıyor, ancak gizliliğe ve kaçınmaya öncelik veren bir dizi adım atmadan önce değil.

Ayrıca, öncelikle yapay zeka (AI) çözümlerinin kripto para madencilerini düşürmesi ve kötü amaçlı yazılım barındırması için tasarlanan bulut hizmetlerinin kötüye kullanılmasını da takip ediyor.

HiddenLayer geçen yıl, "Hem madencilik hem de yapay zekanın büyük miktarda GPU işlem gücüne erişim gerektirmesiyle, temel donanım ortamlarına belirli bir derecede aktarılabilirlik var" dedi.

Cado, H2 2023 Bulut Tehdidi Bulguları Raporu'nda, tehdit aktörlerinin istismar etmek için uzman teknik bilgi gerektiren bulut hizmetlerini giderek daha fazla hedef aldığını ve cryptojacking'in artık tek neden olmadığını belirtti.

"Abyss Locker gibi fidye yazılımı ailelerinin yeni Linux varyantlarının keşfedilmesiyle, Linux ve ESXi sistemlerinde endişe verici bir fidye yazılımı eğilimi var" dedi. "Bulut ve Linux altyapısı artık çok çeşitli saldırılara maruz kalıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.