Yeni Perfctl Kötü Amaçlı Yazılımı, Kripto Para Madenciliği ve Proxyjacking için Linux Sunucularını Hedefliyor

Yanlış yapılandırılmış ve savunmasız Linux sunucuları, birincil amacı bir kripto para birimi madencisi ve proxy korsanlığı yazılımı çalıştırmak olan perfctl adlı gizli bir kötü amaçlı yazılım sunan devam eden bir kampanyanın hedefidir.

Aqua güvenlik araştırmacıları Assaf Morag ve Idan Revivo, yapıkları açıklamada, "Perfctl özellikle zor ve kalıcı, birkaç karmaşık teknik kullanıyor" dedi.

"Yeni bir kullanıcı sunucuya giriş yaptığında, tüm 'gürültülü' etkinlikleri hemen durdurur ve sunucu tekrar boşta kalana kadar uykuda kalır. Yürütmeden sonra ikili dosyasını siler ve bir hizmet olarak arka planda sessizce çalışmaya devam eder."

Kampanyanın bazı yönlerinin, hem kripto para madenciliği hem de proxy jacking yazılımı ile internete maruz kalan Selenium Grid örneklerini hedefleyen bir etkinlik kümesini detaylandıran Cado Security tarafından geçen ay açıklandığını belirtmekte fayda var.

Özellikle, dosyasız perfctl kötü amaçlı yazılımının, perfcc adlı bir madenciyi köklendirmek ve bırakmak için ayrıcalıkları yükseltmek için Polkit'teki (CVE-2021-4043, diğer adıyla PwnKit) bir güvenlik açığından yararlandığı bulundu.

"perfctl" adının arkasındaki sebep, "perf" bir Linux performans izleme aracını ifade ettiğinden ve "ctl", systemctl, timedatectl ve rabbitmqctl gibi çeşitli komut satırı araçlarında kontrolü ifade eden yaygın olarak kullanılan bir sonek olduğundan, algılamadan kaçınmak ve meşru sistem işlemlerine uyum sağlamak için kasıtlı bir çaba gibi görünmektedir.

Bulut güvenlik firması tarafından bal küpü sunucularına karşı gözlemlenen saldırı zinciri, "httpd" adlı bir yük sağlamak için savunmasız bir Apache RocketMQ örneğinden yararlanarak Linux sunucularını ihlal etmeyi içeriyor.

Yürütüldükten sonra, kendisini "/tmp" dizininde yeni bir konuma kopyalar, yeni ikiliyi çalıştırır, orijinal işlemi sonlandırır ve izlerini örtmek amacıyla ilk ikiliyi siler.

Kötü amaçlı yazılım, kendisini başka konumlara kopyalamanın ve görünüşte zararsız isimler vermenin yanı sıra, savunmadan kaçınma ve madenci yükü için bir rootkit bırakacak şekilde tasarlanmıştır. Bazı durumlar, uzak bir sunucudan proxy ele geçirme yazılımının alınmasını ve yürütülmesini de gerektirir.

Perfctl'nin oluşturduğu riski azaltmak için, sistemleri ve tüm yazılımları güncel tutmanız, dosya yürütmeyi kısıtlamanız, kullanılmayan hizmetleri devre dışı bırakmanız, ağ segmentasyonunu zorlamanız ve kritik dosyalara erişimi sınırlamak için Rol Tabanlı Erişim Denetimi (RBAC) uygulamanız önerilir.

Araştırmacılar, "Perfctl kötü amaçlı yazılımını tespit etmek için, CPU kullanımında olağandışı artışlar veya rootkit sunucunuza dağıtılmışsa sistem yavaşlaması ararsınız" dedi. "Bunlar, özellikle boşta kalma zamanlarında kripto madenciliği faaliyetlerine işaret ediyor olabilir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.