Yıllardır Linux Kripto Madenciliğinin Kötü Amaçlı Yazılım Yaymak İçin Yasal Siteleri Kullandığı Görüldü

VulnCheck tarafından yapılan son bir araştırma, yıllardır fark edilmeden yürütülen bir kripto para madenciliği kampanyasını ortaya çıkardı. Bu operasyonun arkasındaki tehdit aktörü, Linuxsys madencisini kullanarak, en az 2021'den beri savunmasız sistemleri hedef alıyor ve kötü amaçlı yazılımları dağıtmak için büyük ölçüde güvenliği ihlal edilmiş meşru web sitelerine dayanan tutarlı bir strateji sürdürüyor.

Bu kampanyanın tespit edilmesini daha da zorlaştıran şey, saldırganın kötü amaçlı yazılım dağıtım kanalları olarak gerçek web sitelerini kullanmasıdır. Şüpheli alan adlarında yük barındırmak yerine, geçerli SSL sertifikalarına sahip üçüncü taraf sitelerin güvenliğini ihlal ederek indirme bağlantılarını oraya yerleştirirler. Bu, yalnızca birçok güvenlik filtresini aşmalarına yardımcı olmakla kalmaz, aynı zamanda temel altyapılarını (örneğin repositorylinux.org indirme sitesi) gerçek kötü amaçlı yazılım dosyalarından uzak tutar.

VulnCheck analistleri, bu yıl 1-16 Temmuz tarihleri arasında, 103.193.177.152 IP adresinden bir Canary Apache 2.4.49 örneğine yönelik tekrarlanan istismar girişimleri tespit etti. Bu girişimler , CVE-2021-41773 güvenlik açığıyla bağlantılıydı. Bu güvenlik açığı yeni olmasa ve popüler bir hedef olmaya devam etse de, onu istismar eden kuruluş dikkat çekiciydi.

Saldırganlar, beş ihlal edilmiş web sitesinden hem yapılandırma dosyasını hem de Linuxsys ikili dosyasını indiren linux.sh adlı basit bir betik kullandı. Bunlar arasında prepstarcenter.com , wisecode.it ve dodoma.shop gibi, hepsi sıradan görünümlü siteler olan alan adları da yer alıyor.

VulnCheck'in Çarşamba günü yayınlanmadan önce Hackread.com ile paylaştığı blog yazısına göre, liste rastgele değildi. Bu, saldırgana, bir site çökerse veya çalışmayı durdurursa yedekleme seçenekleri sunuyordu; böylece kötü amaçlı yazılım kesintisiz bir şekilde dağıtılabiliyordu.

Bu sitelerden alınan madenci yapılandırma dosyası, madencilik havuzu olarak hashvault.pro işaret ediyor ve işlemle ilişkili cüzdanı tanımlıyor. Bu cüzdan, Ocak 2025'ten beri günde ortalama 0,024 XMR, yani yaklaşık 8 dolar tutarında küçük ödemeler alıyor.

8 dolar önemsiz görünse de, operasyonun illa ki yüksek gelirle ilgili olduğu söylenemez. Tutarlılık ve süre, başka hedeflere veya henüz gözlemlenmemiş başka yerlerde daha fazla madencilik faaliyetine işaret ediyor olabilir.

Linuxsys'i geçmişe doğru takip ettiğimizde, ilk olarak 2021 yılında, Linux ve Unix dijital adli bilişiminde saygın bir uzman olan Hal Pomeranz'ın aynı CVE'nin istismarını analiz ettiği birblog yazısında ortaya çıktı. O zamandan beri, çeşitli siber güvenlik firmalarının raporları aracılığıyla birden fazla güvenlik açığıyla ilişkilendirildi. Bunlar arasında 2023-22527 , 2023-34960 ve 2024-36401 gibi yeni CVE'ler de yer alıyor.

Tüm bu güvenlik açıkları , n günlük güvenlik açığı istismarı, tehlikeye atılmış web altyapısında içerik hazırlama ve kalıcı veri madenciliği işlemleri kullanılarak istismar edildi. n günlük güvenlik açığı, zaten bilinen ve genellikle bir çözümü bulunan bir güvenlik açığıdır. Adı, kusurun belirli bir gün sayısı boyunca kamuya açık olduğu anlamına gelir; 'n', sorunun ilk kez kamuoyuna duyurulmasından veya yamalanmasından bu yana geçen gün sayısını ifade eder.

İşlemin Linux ile sınırlı olmadığına dair bazı kanıtlar da mevcut. Aynı saldırıya uğramış bilgisayarlarda nssm.exe ve winsys.exe adlı iki Windows çalıştırılabilir dosyası bulundu. VulnCheck bunları çalışırken gözlemlemese de, varlıkları yalnızca Linux sistemlerinden daha geniş bir kapsama işaret ediyor.

Bu kampanyanın bu kadar düşük profilli kalmasının nedeni, muhtemelen dikkatli hedefleme ve bal tuzaklarından bilinçli olarak kaçınmanın bir kombinasyonudur. VulnCheck, saldırganın yüksek etkileşimli ortamları tercih ettiğini, yani tipik yem sunucularının genellikle bu etkinliği tamamen kaçırdığını belirtiyor. Bu temkinli yaklaşım, kampanyanın yıllardır aktif olmasına rağmen çok fazla dikkat çekmesini engellemiş olabilir.

VulnCheck, bilinen tüm ilişkili CVE'ler için istismar girişimlerini tespit eden Suricata ve Snort kurallarını yayınladı. Bu arada, saldırı göstergeleri arasında saldırıyla ilgili IP'ler, URL'ler ve dosya karmaları yer alıyor. Ayrıca, güvenlik ekiplerinin indirici ve ilk yük betikleriyle ilişkili DNS sorgularını ve HTTP trafiğini belirlemek için kullanabilecekleri tespit kuralları da sağladılar.