Siber Muhbir

Saldırılar, son haftalarda Lazarus Group da dahil olmak üzere çeşitli bilgisayar korsanlığı ekipleri tarafından silah haline getirilen bir uzaktan kod yürütme hatasından (CVE-2023-46604, CVSS puanı: 10.0) yararlanmayı içeriyor.

Başarılı bir ihlalin ardından, tehdit aktörlerinin uzak bir sunucudan sonraki aşama yüklerini düşürdüğü gözlemlendi, bunlardan biri HTTP, UDP, TCP ve TLS gibi protokoller aracılığıyla dağıtılmış hizmet reddi (DDoS) saldırılarını düzenlemek için tasarlanmış bir botnet olan GoTitan.

Fortinet Fortiguard Labs araştırmacısı Cara Lin Salı günü yaptığı bir analizde, "Saldırgan yalnızca x64 mimarileri için ikili dosyalar sağlıyor ve kötü amaçlı yazılım çalışmadan önce bazı kontroller gerçekleştiriyor" dedi.

"Ayrıca, yürütme süresini ve program durumunu kaydeden 'c.log' adlı bir dosya oluşturur. Bu dosya, geliştirici için bir hata ayıklama günlüğü gibi görünüyor, bu da GoTitan'ın hala geliştirmenin erken bir aşamasında olduğunu gösteriyor."

Fortinet, hassas Apache ActiveMQ sunucularının Ddostf adlı başka bir DDoS botnet'i, cryptojacking için Kinsing kötü amaçlı yazılımını ve Sliver adlı bir komuta ve kontrol (C2) çerçevesini dağıtmak için hedeflendiği örnekleri de gözlemlediğini söyledi.

Teslim edilen bir diğer önemli kötü amaçlı yazılım, sistemde yürütülmek üzere ek komutlar almak, dosyaları toplamak ve sunucudan ve sunucuya dosya indirmek ve yüklemek için bir C2 sunucusuyla iletişim kuran PrCtrl Rat adlı bir uzaktan erişim truva atıdır.

Lin, "Bu yazı itibariyle, sunucudan henüz herhangi bir mesaj almadık ve bu aracı yaymanın arkasındaki neden belirsizliğini koruyor" dedi. "Ancak, bir kullanıcının ortamına sızdığında, uzak sunucu sistem üzerinde kontrol sahibi olur."