Yeni Perfctl Kötü Amaçlı Yazılımı, Kripto Para Madenciliği ve Proxyjacking için Linux Sunucularını Hedefliyor
Yanlış yapılandırılmış ve savunmasız Linux sunucuları, birincil amacı bir kripto para birimi madencisi ve proxy korsanlığı yazılımı çalıştırmak olan perfctl adlı gizli bir kötü amaçlı yazılım sunan devam eden bir kampanyanın hedefidir.
Aqua güvenlik araştırmacıları Assaf Morag ve Idan Revivo, yapıkları açıklamada, "Perfctl özellikle zor ve kalıcı, birkaç karmaşık teknik kullanıyor" dedi.
"Yeni bir kullanıcı sunucuya giriş yaptığında, tüm 'gürültülü' etkinlikleri hemen durdurur ve sunucu tekrar boşta kalana kadar uykuda kalır. Yürütmeden sonra ikili dosyasını siler ve bir hizmet olarak arka planda sessizce çalışmaya devam eder."
Kampanyanın bazı yönlerinin, hem kripto para madenciliği hem de proxy jacking yazılımı ile internete maruz kalan Selenium Grid örneklerini hedefleyen bir etkinlik kümesini detaylandıran Cado Security tarafından geçen ay açıklandığını belirtmekte fayda var.
Özellikle, dosyasız perfctl kötü amaçlı yazılımının, perfcc adlı bir madenciyi köklendirmek ve bırakmak için ayrıcalıkları yükseltmek için Polkit'teki (CVE-2021-4043, diğer adıyla PwnKit) bir güvenlik açığından yararlandığı bulundu.
"perfctl" adının arkasındaki sebep, "perf" bir Linux performans izleme aracını ifade ettiğinden ve "ctl", systemctl, timedatectl ve rabbitmqctl gibi çeşitli komut satırı araçlarında kontrolü ifade eden yaygın olarak kullanılan bir sonek olduğundan, algılamadan kaçınmak ve meşru sistem işlemlerine uyum sağlamak için kasıtlı bir çaba gibi görünmektedir.
Bulut güvenlik firması tarafından bal küpü sunucularına karşı gözlemlenen saldırı zinciri, "httpd" adlı bir yük sağlamak için savunmasız bir Apache RocketMQ örneğinden yararlanarak Linux sunucularını ihlal etmeyi içeriyor.
Yürütüldükten sonra, kendisini "/tmp" dizininde yeni bir konuma kopyalar, yeni ikiliyi çalıştırır, orijinal işlemi sonlandırır ve izlerini örtmek amacıyla ilk ikiliyi siler.
Kötü amaçlı yazılım, kendisini başka konumlara kopyalamanın ve görünüşte zararsız isimler vermenin yanı sıra, savunmadan kaçınma ve madenci yükü için bir rootkit bırakacak şekilde tasarlanmıştır. Bazı durumlar, uzak bir sunucudan proxy ele geçirme yazılımının alınmasını ve yürütülmesini de gerektirir.
Perfctl'nin oluşturduğu riski azaltmak için, sistemleri ve tüm yazılımları güncel tutmanız, dosya yürütmeyi kısıtlamanız, kullanılmayan hizmetleri devre dışı bırakmanız, ağ segmentasyonunu zorlamanız ve kritik dosyalara erişimi sınırlamak için Rol Tabanlı Erişim Denetimi (RBAC) uygulamanız önerilir.
Araştırmacılar, "Perfctl kötü amaçlı yazılımını tespit etmek için, CPU kullanımında olağandışı artışlar veya rootkit sunucunuza dağıtılmışsa sistem yavaşlaması ararsınız" dedi. "Bunlar, özellikle boşta kalma zamanlarında kripto madenciliği faaliyetlerine işaret ediyor olabilir."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Pwn2Own Ireland 2024'te 1 Milyon Doların Üzerinde Ödeme Yapıldı
Araştırmacılar Wi-Fi Alliance'ın Test Paketinde Komut Enjeksiyon Kusurunu Keşfetti
AWS Cloud Development Kit Güvenlik Açığı, Kullanıcıları Potansiyel Hesap Ele Geçirme Risklerine Maruz Bırakır
Cisco, Aktif Saldırı Altında ASA ve FTD Yazılım Güvenlik Açığı için Acil Düzeltme Yayınladı
Fortinet, Aktif Sömürü Altında FortiManager'daki Kritik Güvenlik Açığı Konusunda Uyardı
CISA, Microsoft SharePoint Güvenlik Açığından Aktif Olarak Yararlanıldığına Karşı Uyardı (CVE-2024-38094)
SRBMiner Kripto Madenciliği Saldırıları için Docker API Sunucularından Yararlanan Siber Suçlular
VMware, Kritik RCE Güvenlik Açığını Düzeltmek için vCenter Server Güncellemesini Yayınladı