Siber Muhbir

AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) Salı günü yayınladığı bir raporda, "Tehdit aktörleri, yalnızca tarayıcıları yüklemeyi ve ihlal edilen IP ve hesap kimlik bilgilerini karanlık ağda satmayı da seçebilir" dedi.

Bu saldırılarda saldırganlar, sözlük saldırısı adı verilen bir teknikle, yaygın olarak kullanılan kullanıcı adı ve parola kombinasyonlarının bir listesini gözden geçirerek bir sunucunun SSH kimlik bilgilerini tahmin etmeye çalışır.

Kaba kuvvet girişimi başarılı olursa, tehdit aktörünün internetteki diğer hassas sistemleri taramak için tarayıcılar da dahil olmak üzere diğer kötü amaçlı yazılımları dağıtması izler.

Özellikle, tarayıcı, SSH hizmetiyle ilişkili olan 22 numaralı bağlantı noktasının etkin olduğu sistemleri aramak için tasarlanmıştır ve ardından kötü amaçlı yazılım yüklemek için bir sözlük saldırısı hazırlama işlemini tekrarlar ve enfeksiyonu etkili bir şekilde yayar.

Saldırının dikkat çeken bir diğer yönü ise CPU çekirdeği sayısını belirlemek için "grep -c ^processor /proc/cpuinfo" gibi komutların yürütülmesidir.

ASEC, "Bu araçların PRG eski Ekibi tarafından oluşturulduğuna inanılıyor ve her tehdit aktörü, saldırılarda kullanmadan önce bunları biraz değiştiriyor" dedi ve bu tür kötü amaçlı yazılımların 2021 gibi erken bir tarihte kullanıldığına dair kanıtlar olduğunu da sözlerine ekledi.

Bu saldırılarla ilişkili riskleri azaltmak için kullanıcıların tahmin edilmesi zor parolalara güvenmeleri, bunları düzenli aralıklarla değiştirmeleri ve sistemlerini güncel tutmaları önerilir.

Bulgular, Kaspersky'nin NKAbuse adlı yeni bir çok platformlu tehdidin, DDoS saldırıları için bir iletişim kanalı olarak NKN (Yeni Ağ Türü'nün kısaltması) olarak bilinen merkezi olmayan, eşler arası bir ağ bağlantı protokolünden yararlandığını ortaya çıkarmasıyla geldi.