Microsoft, internete maruz kalan Linux ve Nesnelerin İnterneti (IoT) cihazlarının, yakın zamanda gözlenen bir kriptajlama kampanyasının bir parçası olarak kaba kuvvet saldırılarında kaçırıldığını söylüyor.
Bir sisteme eriştikten sonra, saldırganlar, tehlikeye atılan cihazları geri yüklemelerine ve kalıcılığı korumak için SSH kimlik bilgilerini çalmalarına yardımcı olan truva atlı bir openssh paketi kullanırlar.
Microsoft, "Yamalar, istemci veya sunucu olarak cihazın SSH bağlantılarının şifrelerini ve anahtarlarını kesen kancalar yüklüyor." Dedi.
"Dahası, yamalar, SSH üzerinden kök oturum açmasını ve özel bir şifre ile ayırt edilen tehdit aktörlerinin SSH oturumlarının günlüğünü bastırarak davetsiz misafirin varlığını gizlemesini sağlar."
Trojanize openssh ikili ile aynı zamanda dağıtılan arka kapı kabuğu komut dosyası, kalıcı SSH erişimi için yetkili_keyler dosyasına iki genel anahtar ekleyecektir.
Ayrıca, tehdit aktörlerinin sistem bilgilerini hasat etmesine ve hacklenen sistemlerde kötü niyetli aktiviteyi gizlemek için sürüngen ve diamorfin açık kaynaklı LKM rootkits'i kurmasına izin verir.
Tehdit aktörleri ayrıca, operasyonun kriptajı rakipleri tarafından kullanılan ana bilgisayarlara ve IP'lere trafik çekmek için /etc /hostlara yeni IPTable kuralları ve girişleri ekleyerek diğer madencileri ortadan kaldırmak için arka kapıyı kullanırlar.
Microsoft, "Aynı zamanda madenci işlemlerini ve dosyalarını adlarına göre tanımlar ve ya onları sonlandırır veya bunlara erişimi engeller ve yetkili_keylerde yapılandırılan SSH erişimi diğer düşmanlar tarafından kaldırır." Dedi.
Saldırıda konuşlandırılan ZiggyStarux açık kaynaklı IRC botunun bir versiyonu, dağıtılmış Hizmet Reddi (DDOS) yetenekleriyle birlikte gelir ve operatörlerin Bash komutlarını yürütmesine izin verir.
Arka kapı kötü amaçlı yazılım, uzlaşmış sistemler üzerindeki kalıcılığını sağlamak, ikili birkaç disk konumunda çoğalmak ve periyodik olarak yürütmek için Cron işleri oluşturmak için birden fazla teknik kullanır.
Ayrıca, /etc/systemd/system/network-check.service adresindeki hizmet dosyasını yapılandırarak ZigGyStarux'u bir Systemd hizmeti olarak kaydeder.
ZiggyStarux Bots ve IRC sunucuları arasındaki C2 iletişim trafiği, saldırganın altyapısında barındırılan meşru bir Güneydoğu Asya finans kurumuna ait bir alt alan kullanılarak kamufle edilmiştir.
Kampanyayı araştırırken Microsoft, botlara, truva atanmış openssh paketini kullanarak, saldırıya uğrayan cihazın alt ağındaki her canlı ana bilgisayarın alt ağındaki ve arka kapısındaki her canlı ana bilgisayarını indirmek ve yürütme talimatı verildiğini gördü.
Mağdurun ağı içinde yanal olarak hareket ettikten sonra, saldırganların nihai hedefi, kriptominasyon için tasarlanmış Linux tabanlı Hiveon OS sistemlerini hedefleyen kötü amaçlı yazılımların kurulumu gibi görünüyor.
Microsoft, "Openssh'in değiştirilmiş sürümü, meşru bir openssh sunucusunun görünümünü ve davranışını taklit ediyor ve bu nedenle algılama için diğer kötü niyetli dosyalardan daha büyük bir zorluk oluşturabilir." Dedi.
"Yamalı Openssh, tehdit aktörlerinin ek cihazlara erişmesini ve tehlikeye atmasını sağlayabilir. Bu tür saldırı, açık cihazlara sızmaya ve kontrol etmeye çalışan rakiplerin tekniklerini ve kalıcılığını gösterir."
Bilgisayar korsanları Linux SSH sunucularını tsunami botnet kötü amaçlı yazılım
Linux Bpfdoor kötü amaçlı yazılımın daha kapsamlı versiyonu,
Rapperbot DDOS Malware, yeni gelir akışı olarak CryptoJacking ekliyor
Mirai Botnet D-Link, Zyxel, Netgear Cihazlarında 22 Kusur Hedefliyor
Çin APT15 hackerları yeni Graphican kötü amaçlı yazılımlarla yeniden ortaya çıkıyor
Kaynak: Bleeping Computer