Bildirilen bir ücretsiz indirme yöneticisi tedarik zinciri saldırısı, Linux kullanıcılarını bilgi çalan kötü amaçlı yazılımları yükleyen kötü amaçlı bir Debian paket deposuna yönlendirdi.
Bu kampanyada kullanılan kötü amaçlı yazılım, bir C2 sunucusuna ters bir kabuk oluşturur ve kullanıcı verilerini ve hesap kimlik bilgilerini toplayan bir Bash Stealer'ı yükler.
Kaspersky, şüpheli alanları araştırırken potansiyel tedarik zinciri uzlaşma davasını keşfetti ve kampanyanın üç yılı aşkın bir süredir devam ettiğini tespit etti.
Siber güvenlik şirketi yazılım satıcısını bu konuda bilgilendirse de, bir yanıt almamıştır, bu nedenle kesin uzlaşma araçları bulanık kalır.
BleepingComputer ayrıca bir yorum için Ücretsiz İndirme Yöneticisi satıcısıyla da temasa geçti, ancak yayın saatine göre tekrar duymadık.
Kaspersky, "FreedownloadManager [.] Org" da barındırılan resmi indirme sayfasının bazen Linux sürümünü kötü niyetli bir Debian paketine barındıran "Deb.fdmpkg [.] Org" adresindeki kötü niyetli bir alanda indirmeye çalışanları yönlendireceğini söylüyor.
Bu yeniden yönlendirme nedeniyle, yalnızca bazı durumlarda gerçekleşir ve resmi siteden indirme denenmesi durumlarında değil, senaryoların kullanıcıları belirli ancak bilinmeyen kriterlere dayalı kötü niyetli indirmelerle hedeflediği varsayılmaktadır.
Kaspersky, sosyal medya, Reddit, StackOverflow, YouTube ve Unix Stack Exchange'de çeşitli yayınlar gözlemledi; burada kötü amaçlı alan adının ücretsiz indirme yöneticisi aracını almak için güvenilir bir kaynak olarak yayıldığı.
Ayrıca, 2021'deki Resmi Ücretsiz İndirme Yöneticisi web sitesindeki bir yayın, enfekte olmuş bir kullanıcının kötü niyetli 'fdmpkg.org' alanına nasıl işaret ettiğini ve resmi projeye bağlı olmadığı söylendiğini göstermektedir.
Aynı sitelerde, kullanıcılar son üç yılda yazılımla ilgili sorunları tartıştılar, şüpheli dosyalar ve yarattığı Cron işleri hakkında fikir alışverişinde bulundular, hiçbiri kötü amaçlı yazılımlarla enfekte olduklarını fark etmedi.
Kaspersky, yeniden yönlendirmenin 2022'de durduğunu belirtirken, eski YouTube videoları [1, 2] resmi ücretsiz indirme yöneticisinde indirme bağlantıları göstererek bazı kullanıcıları kötü amaçlı http: //deb.fdmpkg [.] FreedownloadManager yerine org url'ye yönlendiriyor. Org.
Ancak, bu yönlendirme herkes için kullanılmadı, aynı zamanda bir kullanıcının programı resmi URL'den indiren bir kullanıcıyı gösterdi.
Ubuntu ve Ubuntu tabanlı çatallar da dahil olmak üzere yazılım Debian tabanlı Linux dağıtımlarını yüklemek için kullanılan kötü niyetli Debian paketi, bir bash bilgi çalma komut dosyası ve C2 sunucusundan ters bir kabuk oluşturan bir crond arka kapı bırakır.
Crond bileşeni, sistemde sistem başlatması üzerine bir stealer komut dosyası çalıştıran yeni bir CRON işi yaratır.
Kaspersky, Crond Backdoor'un 2013'ten beri dolaşımdaki 'Bew' kötü amaçlı yazılımlarının bir çeşidi olduğunu, Bash Stealer'ın vahşi doğada görüldüğünü ve 2019'da ilk olarak analiz edildiğini buldu. Bununla birlikte, araç seti yeni değil.
Kaspersky tarafından analiz edilen BASH Stealer sürümü, sistem bilgisi, tarama geçmişi, tarayıcılara kaydedilen şifreler, RMM kimlik doğrulama anahtarları, kabuk geçmişi, kripto para birimi cüzdan verileri ve AWS, Google Cloud, Oracle Cloud altyapısı ve AZure Cloud hizmetleri için hesap kimlik bilgileri toplar.
Toplanan bu veriler daha sonra saldırganların sunucusuna yüklenir ve burada daha fazla saldırı yapmak veya diğer tehdit aktörlerine satılmak için kullanılabilir.
2020 ve 2022 yılları arasında Ücretsiz İndirme Yöneticisinin Linux sürümünü yüklediyseniz, kötü amaçlı sürümün yüklü olup olmadığını kontrol etmelisiniz.
Bunu yapmak için, kötü amaçlı yazılım tarafından bırakılan aşağıdaki dosyaları arayın ve bulunursa bunları silin:
Bu saldırılarda kullanılan kötü amaçlı araçların yaşına, enfekte bilgisayarlarda şüpheli etkinlik belirtilerine ve birden fazla sosyal medya raporuna rağmen, kötü niyetli Debian paketi yıllarca tespit edilmedi.
Kaspersky, bunun Linux üzerindeki kötü amaçlı yazılımların nadirliği ve kullanıcıların yalnızca bir kısmının gayri resmi URL'ye yönlendirilmesi nedeniyle sınırlı yayılmasından kaynaklandığını söylüyor.
Carderbee Hacking Group Tedarik Zinciri Saldırısında Hong Kong Orgs'a vuruyor
Winrar Zero-Day Nisan ayından bu yana Ticaret Hesaplarını Hacklemek
Serde Project Gemileri İkili Bilgiler Gerekirken Pust Devs Geri Geri Geri Döndü
Yeni P2Pinfect Worm kötü amaçlı yazılım hedefleri Linux ve Windows Redis sunucuları
Avrecon kötü amaçlı yazılım, botnet oluşturmak için 70.000 linux yönlendiricisine bulaşır
Kaynak: Bleeping Computer