Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor

Gelişme, tehdidin belirsiz nedenleri olan uyuyan bir botnet gibi görünen şeyden finansal olarak motive edilmiş bir operasyona geçişini işaret ediyor.

Cado Security, bu hafta yayınlanan bir raporda, "Kripto madencisi, fidye yazılımı yükü ve rootkit öğelerindeki en son güncellemeleriyle, kötü amaçlı yazılım yazarının yasadışı erişimlerinden kâr elde etme ve ağı daha da yayma çabalarını gösteriyor" dedi.

P2PInfect yaklaşık bir yıl önce ortaya çıktı ve o zamandan beri MIPS ve ARM mimarilerini hedeflemek için güncellemeler aldı. Bu Ocak ayının başlarında Nozomi Networks, madenci yüklerini teslim etmek için kötü amaçlı yazılımın kullanımını ortaya çıkardı.

Genellikle Redis sunucularını ve çoğaltma özelliğini hedefleyerek kurban sistemlerini saldırgan tarafından kontrol edilen sunucunun takipçi düğümüne dönüştürerek yayılır ve ardından tehdit aktörünün onlara rastgele komutlar vermesine izin verir.

Rust tabanlı solucan ayrıca, ortak parolalar kullanarak oturum açmaya çalışan bir SSH parola püskürtücü modülü içermesinin yanı sıra, daha savunmasız sunucular için interneti tarama yeteneğine de sahiptir.

Diğer saldırganların aynı sunucuyu hedeflemesini önlemek için adımlar atmanın yanı sıra, P2PInfect'in diğer kullanıcıların parolalarını değiştirdiği, SSH hizmetini kök izinleriyle yeniden başlattığı ve hatta ayrıcalık yükseltme gerçekleştirdiği bilinmektedir.

Güvenlik araştırmacısı Nate Bill, "Adından da anlaşılacağı gibi, virüslü her makinenin ağda bir düğüm görevi gördüğü ve diğer birkaç düğümle bağlantı kurduğu eşler arası bir botnet" dedi.

"Bu, botnet'in, kötü amaçlı yazılım yazarının bir dedikodu mekanizması aracılığıyla ağ üzerinden güncellenmiş ikili dosyaları göndermek için kullandığı devasa bir ağ ağı oluşturmasına neden olur. Yazarın sadece bir eşi bilgilendirmesi gerekiyor ve yeni ikili dosya ağ üzerinde tamamen yayılana kadar tüm eşlerini bilgilendirecek ve bu böyle devam edecek."

P2PInfect'teki yeni davranış değişiklikleri arasında, belirli dosya uzantılarıyla eşleşen dosyaları şifrelemek ve kurbanları 1 XMR (~ 165 $) ödemeye çağıran bir fidye notu göndermek için tasarlanmış madenci ve fidye yazılımı yüklerini düşürmek için kötü amaçlı yazılımın kullanılması yer alıyor.

Bill, "Bu hedefsiz ve fırsatçı bir saldırı olduğundan, kurbanların düşük değerli olması muhtemeldir, bu nedenle düşük bir fiyata sahip olması beklenebilir" dedi.

Ayrıca, TeamTNT gibi diğer cryptojacking grupları tarafından da benimsenen bir teknik olan kötü amaçlı işlemlerini ve dosyalarını güvenlik araçlarından gizlemek için LD_PRELOAD ortam değişkenini kullanan yeni bir kullanıcı modu rootkit'i de dikkat çekicidir.

P2PInfect'in, ödeme karşılığında diğer saldırganların yüklerini dağıtmak için bir kanal görevi gören kiralık bir botnet hizmeti olarak tanıtıldığından şüpheleniliyor.

Bu teori, madenci ve fidye yazılımı için cüzdan adreslerinin farklı olması ve madenci sürecinin mümkün olduğunca fazla işlem gücü alacak şekilde yapılandırılması ve fidye yazılımının işleyişine müdahale etmesine neden olması gerçeğiyle desteklenmektedir.

Bill, "Öncelikle geçici bellek içi verileri depolayan bir sunucuyu hedefleyen kötü amaçlı yazılımlar için bir fidye yazılımı yükü seçimi tuhaf bir şey ve P2Pinfect, izin seviyesi nedeniyle erişebileceği sınırlı miktarda düşük değerli dosya nedeniyle madencilerinden fidye yazılımlarından çok daha fazla kar elde edecek" dedi.

"Kullanıcı modu rootkit'in tanıtımı, kötü amaçlı yazılıma 'kağıt üzerinde iyi' bir ektir. İlk erişim Redis ise, kullanıcı modu rootkit'i de yalnızca diğer kullanıcıların büyük olasılıkla oturum açmayacağı Redis hizmet hesabı için ön yüklemeyi ekleyebildiğinden tamamen etkisiz olacaktır."

Açıklama, AhnLab Güvenlik İstihbarat Merkezi'nin (ASEC), yamalanmamış kusurları olan veya güvenliği zayıf olan savunmasız web sunucularının, kripto madencilerini dağıtmak için Çince konuşan şüpheli tehdit aktörleri tarafından hedef alındığına dair ifşaatlarının ardından geldi.

ASEC, Behinder, China Chopper, Godzilla, BadPotato, cpolar ve RingQ'nun kullanımını vurgulayarak, "Uzaktan kontrol, kurulu web kabukları ve NetCat aracılığıyla kolaylaştırılıyor ve RDP erişimini hedefleyen proxy araçlarının kurulumu göz önüne alındığında, tehdit aktörleri tarafından veri sızdırılması belirgin bir olasılıktır" dedi.

Ayrıca Fortinet FortiGuard Labs, UNSTABLE, Condi ve Skibidi gibi botnet'lerin, kötü amaçlı yazılım yüklerini ve güncellemelerini geniş bir cihaz yelpazesine dağıtmak için meşru bulut depolama ve bilgi işlem hizmetleri operatörlerini kötüye kullandığına dikkat çekti.

Güvenlik araştırmacıları Cara Lin ve Vincent Li, "[Komuta ve kontrol] operasyonları için bulut sunucularını kullanmak, güvenliği ihlal edilmiş cihazlarla kalıcı iletişim sağlayarak savunucuların bir saldırıyı engellemesini zorlaştırıyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği