Adylkuzz Adlı Cryptocurrency Miner, EternalBlue ve DoublePulsar Kötü Amaçlı Yazılımları Aracılığıyla Ağlara Saldırdı

Kötü şöhretli WannaCry Ransomware 2017'de siber güvenlik haberlerinde manşetlere çıkarken, kötü niyetli aktörler aynı anda Adylkuzz adlı bir kripto para madencisini yaymak için aynı açıkları kullanıyorlardı. WannaCry gibi, Adylkuzz da Microsoft Windows ağ güvenlik açığından yararlanmak ve virüslü cihazlarda ağ bağlantısını devre dışı bırakmak için sızdırılmış NSA hack araçlarını kullandı ve araştırmacıların Adylkuzz'ın WannaCry saldırılarından birçok yönden daha eski olduğuna inanmasını sağladı.

2017'de büyük bir fidye yazılımı saldırısı, dünya çapında LAN'lara ve kablosuz ağlara bulaşmak için EternalBlue'dan yararlandı. EternalBlue, NSA korsanlık araçlarının Shadow Brokers dökümünün bir parçası olarak tanımlandı. Güvenlik açığı bulunan bilgisayarları keşfeder ve 445 numaralı TCP bağlantı noktasındaki Microsoft Sunucu İleti Bloğu MS17-010 güvenlik açığından yararlanarak kötü niyetli yükleri yayar. EternalBlue'yu DoublePulsar adlı başka bir NSA arka kapı aracıyla birleştiren saldırganlar, kötü şöhretli WannaCry adlı fidye yazılımı tehdidini yükledi .

Bununla birlikte, araştırmacılar, bilgisayarlara bulaşmak için hem EternalBlue hem de DoublePulsar'ı da kullanan, ancak bu sefer Adylkuzz adlı bir kripto para madenciliği yapan başka bir büyük ölçekli saldırı tespit ettiler.

Keşif, EternalBlue'ya karşı savunmasız bir laboratuvar makinesini kasıtlı olarak açığa çıkardıktan sonra yapıldı. Siber güvenlik araştırmacıları, EternalBlue aracılığıyla başarılı bir şekilde yararlanmanın ardından cihaza DoublePulsar bulaştığını öğrendi. Ardından DoublePulsar, Adylkuzz'ın başka bir ana bilgisayardan kaçmasının yolunu açtı. Madenci, KOBİ iletişimini engelledikten sonra, kurbanın genel IP adresini belirledi ve belirli temizleme araçlarıyla birlikte madencilik talimatlarını indirdi. Adylkuzz, bu özel durumda Monero kripto para birimini çıkarmak için kullanıldı. Bu saldırıyla ilişkili birkaç Monero adresinden birini gözlemlemek, o adrese 22.000$ ödendikten sonra madenciliğin durduğunu ortaya koyuyor. Belirli bir adresle ilişkili günlük madencilik ödemeleri, saldırganların tek bir adrese çok fazla Monero parasının transfer edilmesini önlemek için düzenli olarak birkaç adres arasında geçiş yaptığını da gösteriyor.

Adylkuzz'ın yaygın belirtileri arasında paylaşılan Windows kaynaklarına erişimin kaybedilmesi ve bilgisayar performansının düşmesi yer alır. Büyük ölçekli kurumsal ağlara yönelik şüpheli WannaCry saldırılarının birkaç vakasında, fidye notunun olmaması, bildirilen ağ sorunlarının aslında Adylkuzz etkinliğiyle ilişkili olduğunu ima eder. Hatta araştırmacılar, Adylkuzz yükleme istatistiklerinin, madenci etkilenen bilgisayarlarda SMB ağını kapattığı ve böylece aynı güvenlik açığı aracılığıyla ek kötü amaçlı yazılım tehditlerinin yüklenmesini engellediği için WannaCry saldırısından çok daha önemli bir etki önerdiğini iddia ediyor. Bu nedenle Adylkuzz, o dönemde WannaCry yayılımını gerçekten sınırlamış olabilir. Soruşturma sırasında bir düzineden fazla aktif Adylkuzz Komuta ve Kontrol Sunucusu ile birlikte taranacak ve saldırılacak 20'den fazla ana bilgisayar tespit edildi.

Şu anda, sızdırılmış EternalBlue ve DoublePulsar korsanlık araçları tarafından kullanılan güvenlik açıkları düzeltildi, bu nedenle bireyler ve kuruluşlar Windows bilgisayarlarını her zaman güncel tutmaya teşvik ediliyor.