Sophos, muhtemelen ilk erişim aracıları tarafından sağlanan ve yama uygulanmamış VMware Horizon sunucularını hedef alan üç yeni arka kapı ve dört farklı kripto madenci keşfetti.
Yeni nesil siber güvenliğin lideri Sophos, siber saldırganların kalıcı erişim sağlamak ve gelecekteki fidye yazılımı saldırılarına zemin hazırlamak için yama uygulanmamış VMware Horizon sunucularındaki Log4Shell güvenlik açığını istismar ettiklerine dair yeni bulgular yayınladı. “Horde of Miner Bots and Backdoors Leveraged Log4J to Attack VMware Horizon Servers” başlığıyla yayınlanan teknik belge, sunucuları tehlikeye atmak için kullanılan üç arka kapı ve dört kripto madenciye dair araç ve teknikleri ayrıntılarıyla ele alıyor. Arka kapıların ilk erişim aracıları tarafından sağlandığı tahmin ediliyor.
Yüzlerce yazılım ürününde yerleşik olarak bulunan Java günlük kaydı bileşeni Apache Log4J üzerinde uzaktan kod yürütmeye olanak sağlayan önemli bir güvenlik açığı olan Log4Shell, Aralık 2021’de rapor edilmiş ve yamanmıştı.
Sophos Kıdemli Güvenlik Araştırmacısı Sean Gallagher, şunları söyledi: “İnternete maruz kalan ve elle güncellenmesi gereken VMware Horizon gibi yaygın uygulamalar, özellikle geniş ölçekli saldırılar karşısında savunmasız kalıyor. Sophos’un tespitleri Ocak ayından itibaren Horizon sunucularını hedef alan, yama uygulanmamış sunuculara bir dizi arka kapı ve kripto madencinin yanı sıra cihaz bilgilerini toplamak üzere komut dosyaları yerleştiren bir saldırı dalgasını ortaya çıkardı. Söz konusu arka kapıların yüksek nitelikli hedeflere kalıcı uzaktan erişim sağlamak isteyen gruplar tarafından istismar edilebileceğine ve fidye yazılımı operatörleri gibi üçüncü kişilere satılabileceğine inanıyoruz.”
Sophos’un tespit ettiği çoklu saldırı yükleri şunları içeriyor:
- Meşru uzaktan izleme ve yönetim araçları olan Atera ve Splashtop Streamer. Bunlar muhtemelen arka kapı olarak kullanılıyor.
- Kötü niyetli Sliver arka kapısı.
- z0Miner, JavaX miner, Jin ve Mimu kripto madencilik yazılımları.
- Cihaz ve yedekleme bilgilerini toplayan birkaç tane PowerShell tabanlı araç.
Sophos’un analizi, Sliver’ın bazı durumlarda Atera ve PowerShell komut dosyalarıyla birlikte teslim edildiğini ve XMrig Monero madenci botnetinin Jin ve Mimu türevlerini sunmak için kullanıldığını ortaya çıkardı.
Sophos’a göre, saldırganlar hedeflerine erişim için birkaç farklı yaklaşım kullanıyor. Daha önceki saldırılardan bazıları kripto madenci veri yüklerini yerleştirmek ve yürütmek için Cobalt Strike’ı kullanırken, Ocak 2022’nin ortalarında başlayan en büyük saldırı dalgası kripto madenci yükleyici komut dosyasını doğrudan VMware Horizon sunucusunun Apache Tomcat bileşeni üzerinden çalıştırdı. Bu saldırı dalgası hala devam ediyor.
Gallagher, şu yorumlarda bulundu: “Sophos’un bulguları, birden fazla saldırganın bu tekniği uyguladığını gösteriyor. Bu nedenle atılacak en önemli koruyucu adım, Log4J içeren tüm cihazlara ve uygulamalara gerekli yamaların uygulanması olacaktır. Log4J yüzlerce yazılım ürününde kurulu olarak geliyor ve özellikle de düzenli güvenlik desteğine sahip olmayan ticari, açık kaynaklı veya özel yazılımları kullanan birçok kuruluş, altyapılarında gizlenen güvenlik açığından habersiz olabiliyor. Diğer yandan saldırganlar ağa arka kapı açmayı başardıysa yama da tek başına yeterli olmayacaktır. Derinlemesine savunma sistemleri kurarak madencilerin ve diğer anormal faaliyetlerin tespiti için harekete geçmek, bu tür saldırıların kurbanı olmaktan kaçınmak adına son derece önemlidir.”