Prowli Kötü Amaçlı Yazılım Hedefleme Sunucuları, Yönlendiriciler ve IoT Aygıtları

Büyük VPNFilter kötü amaçlı yazılım botnet’inin keşfinden sonra , güvenlik araştırmacıları şimdiden 40.000’den fazla sunucu, modem ve dünya çapında çok sayıda kuruluşa ait internet bağlantılı cihazlardan taviz vermiş bir dev botnet ortaya çıkardılar.
Dublaj Operasyonu Prowli , kampanya kötü amaçlı yazılım yaymak ve patlatır kullanımı, şifre zorlaması ve zayıf yapılandırmaları kötüye dahil olmak üzere çeşitli saldırı teknikleri kullanarak dünyanın dört sunucuları ve web siteleri devralmaya kötü amaçlı kod enjekte edilmiştir.

GuardiCore güvenlik ekibi, Prowli’deki araştırmacılar tarafından keşfedildi finans, eğitim ve devlet kurumları da dahil olmak üzere çeşitli alanlarda 9000’den fazla işletmeden 40.000’in üzerinde kurban makinesine çarptı.

Prowli kötü amaçlı yazılım tarafından virüs bulaşan liste aygıtları ve hizmetleri şunlardır:

Popüler web sitelerine ev sahipliği yapan Drupal ve WordPress CMS sunucuları
Joomla! K2 uzantısını çalıştıran sunucular
HP Data Protector yazılımı çalıştıran yedek sunucular
DSL modemleri
Açık SSH bağlantı noktasına sahip sunucular
PhpMyAdmin yüklemeleri
NFS kutuları
Açık SMB portlarına sahip sunucular
Hassas Internet-of-Thing (IoT) cihazları
Yukarıdaki hedeflerin tümü, bilinen bir güvenlik açığı veya kimlik bilgisi tahmini kullanılarak virüs bulaştı.

Prowli Malware Cryptocurrency Miner Enjekte

prowli-malware-attack

Prowli saldırısının arkasındaki saldırganlar virüslü cihazları ve web sitelerini kripto-para birimini kötüye kullanmaktan ya da kötü amaçlı web sitelerine yönlendiren bir betik çalıştırdıklarından, araştırmacılar ideoloji ya da casusluktan ziyade para kazanmaya daha fazla odaklandıklarına inanıyorlar.

GuardiCore araştırmacılarına göre, tehlikeye atılan cihazların bir Monero (XMR) cryptocurrency madencisi ve “r2r2” solucanı ile enfekte olmuş cihazlardan gelen SSH brute-force saldırılarını yürüten Golang’da yazılan bir kötü amaçlı yazılım ile enfekte olduğu bulundu. yeni cihazlar

Araştırmacılar, basit bir ifadeyle, “r2r2 rasgele bir şekilde IP adres blokları üretir ve bir kullanıcı ve parola sözlüğü ile SSH girişlerini kaba bir şekilde zorlamaya çalışır. Bir kez bozulduğunda, kurban üzerinde bir dizi komut çalıştırır.”

Bu komutlar, farklı CPU mimarileri, bir kripto para birimi madencisi ve uzak bir sabit kodlanmış sunucudan bir yapılandırma dosyası için solucanın birden çok kopyasını indirmekle yükümlüdür.

Saldırganlar Ayrıca, Kötü Amaçlı Yüklemelerin Yüklenmesi Sırasındaki Tricks Kullanıcılarını

Cryptocurrency madencisinin yanı sıra, saldırganlar da tehlikeye atılan sunucuları değiştirmek için “WSO Web Shell” olarak adlandırılan iyi bilinen bir açık kaynak webshell kullanıyorlar, sonuçta saldırganların web sitelerini ziyaret edenleri kötü amaçlı tarayıcı uzantıları dağıtan sahte sitelere yönlendirmesini sağlıyor .
GuardiCore ekibi, kampanyayı dünyanın dört bir yanındaki çeşitli ağlarda izledi ve Prowli kampanyasını farklı endüstrilerle ilişkilendirdi.

Araştırmacılar, “3 hafta boyunca, çeşitli ülkelerden ve örgütlerden 180’den fazla IP’den gelen düzinelerce saldırıyı ele geçirdik” dedi. “Bu saldırılar, saldırganların altyapısını araştırmamıza ve birden fazla servise saldıran geniş kapsamlı bir operasyonu keşfetmemize neden oldu.”

Prowli benzeri Kötü Amaçlı Yazılım Saldırılarına Karşı Cihazlarınızı Nasıl Korur
Saldırganlar, aygıtları tehlikeye atmak için bilinen güvenlik açıklarını ve kimlik bilgisi tahminlerini bir araya getirdiğinden, kullanıcılar sistemlerinin yamalandığından ve güncel olduğundan emin olmalı ve her zaman aygıtları için güçlü parolalar kullanmalıdır.

Ayrıca, kullanıcılar ağları geri kalanından ayırmak için sistemleri kilitlemeyi ve savunmasız veya güvenli sistemlere ayırmayı da düşünmelidir.

Geçtiğimiz ayın sonlarında, VPNFilter adlı kitlesel bir botnetin, 54 ülkede bulunan bir dizi üreticiden yarım milyon yönlendiriciyi ve depolama cihazını yıkıcı siber operasyonlar, gözetim ve insan-in-the- orta saldırılar.