btbilgi

Siber saldırganlar ele geçirdikleri veya farkettikleri yeni güvenlik açıklarını hızla kullanmaktan asla çekinmiyorlar. Bu aralar keşfedilen en büyük güvenlik açıklarından biri olan Microsoft Exchange vakasında görüldüğü gibi, siber suçlular yayımlanmış güvenlik yamalarının sistemlerden güncellenmesini de bekleyecek değiller. Daha önce söz konusu açığı kullanan DearCry ve Black Kingdom fidye yazılımı saldırılarının dışında, şimdi de yeni bir kriptomadencilik istismarı ortaya çıkartılmış.

Konuyla ilgili araştırmasının sonuçlarını ‘Compromised Exchange Server Hosts Crypto-jacker To Target Other Exchange Servers’ başlıklı raporda yayımlayan siber güvenlik firması Sophos, bir kez daha kullanıcıları uyarmış. ProxyLogon Exchange güvenlik açığından en çabuk yararlanan suç gruplarının kriptomadenciler olduğuna dikkat çekilmekte.

‘Xmr-stak’ isimli açık kaynaklı Monero madencisini temel alan ve operatörlerin ‘QuickCPU’ olarak isimlendirdiği bu yeni saldırı, ProxyLogon açığını kapatmak için gerekli yamaların uygulanmadığı savunmasız Exchange sunucularını saldırganlar adına kriptomadenciliğe zorluyor. Bu ismin işlemci optimizasyonunda kullanılan yaygın bir açık kaynaklı uygulama olan Quick CPU ile karıştırılarak gözden kaçmak için özellikle seçildiği fikrine raporda yer verilmiş.

Sophos Tehdit Araştırmacısı Andrew Brandt, açıklar ortaya çıkarıldıktan sonra saatler içinde ilk yasadışı kriptomadencilik yazılımlarının savunmasız sunuculara yerleştirilmeye başlandığını aktarmakta: “Kampanyaya dair yaptığımız analizler 9 Mart’ta saldırganların Monero cüzdanlarına doğru bir akış olduğunu, ardından saldırının boyutunun hızla küçüldüğünü gösteriyor. Bu da söz konusu yamaların geniş çapta uygulanmasının öncesinde deneysel ve fırsatçı bir saldırıyla karşı karşıya olduğumuzu düşündürüyor.”

Siber suçluların bu saldırılarda başvurduğu sıradışı bir davranış olduğu da raporlanmakta. Buna göre saldırganlar kriptomadencilik yazılımlarını savunmasız Exchange sunucularına yükleyip çalıştırmanın dışında, sunucuları başka sunuculara ulaşmak için bir platform olarak da kullanıyorlar. Saldırganların kötü niyetli madenciyi güvenlik denetimlerinden saklamak için belleğe yükledikleri, kullanımdan sonra kurulum ve yapılandırma dosyalarını sildikleri, Monero cüzdanlarıyla iletişim kurmak için ise Transfer Layer Security trafik şifrelemesini kullanarak tespitten kaçtıkları belirtilmiş.

Saldırıya uğrayan sunucunun işlem gücünün ve performansının önemli ölçüde düşmesi, bu zararlının arka planda çalıştığına dair ipucu verebilmekte. Saldırılardan kaçınmak için ilk yapılacak şey Microsoft’un yayınladığı yamaları bir an önce kurmak. Onun dışında Exchange sunucusundaki web kabuklarının (web shell) taranması ve olağandışı işlemlere karşı sunucuların izlemeye alınması da raporda tavsiye ediliyor.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.