Ebury Botnet'i
Ebury adlı kötü amaçlı yazılım botnet'i, 2009'dan beri yaklaşık 400.000 Linux sunucusuna sızdı ve 2023'ün sonlarına doğru 100.000'den fazla sunucunun güvenliği ihlal edilmiş durumda. Bu botnet, siber güvenlik uzmanları tarafından finansal kazanç hedefleyen en gelişmiş sunucu tarafı kötü amaçlı yazılım kampanyalarından biri olarak kabul ediliyor.
Ebury'nin arkasındaki aktörler, spam dağıtmak, Web trafiğini yeniden yönlendirmek ve kimlik bilgilerini çalmak gibi çeşitli para kazanma faaliyetleriyle meşgul oldu. Buna ek olarak, Ortadaki Adam (MitM) saldırıları aracılığıyla kripto para birimi hırsızlığına ve genellikle sunucu tarafı web taraması olarak adlandırılan bir teknik olan ağ trafiğine müdahale yoluyla kredi kartı hırsızlığına karışıyorlar.
İçindekiler
Siber suçlular Ebury Botnet'i Çalıştırırken Yakalandı
Ebury, on yıldan fazla bir süre önce, Linux sunucularını tehlikeye atmayı amaçlayan bir kampanya olan Windigo Operasyonu sırasında ortaya çıktı. Bu operasyon, web trafiğini yeniden yönlendirmek ve spam göndermek için Ebury'yi Cdorked ve Calfbot gibi diğer araçlarla birlikte kullandı. Ağustos 2017'de Rus vatandaşı Maxim Senakh, Ebury botnet'inin geliştirilmesi ve sürdürülmesinde rol oynadığı için ABD hapishanesinde yaklaşık dört yıl hapis cezasına çarptırıldı.
ABD Adalet Bakanlığı'na göre Senakh ve arkadaşları, çeşitli tıklama sahtekarlığı ve spam e-posta planları için internet trafiğini manipüle etmek amacıyla Ebury botnet'ini kullandı. Bunun sonucunda milyonlarca dolarlık dolandırıcılık geliri elde edildi. Savunmasının bir parçası olarak Senakh, Ebury botnet altyapısını genişletmek için alan adı kayıt şirketlerinde hesaplar açarak suç örgütünü desteklediğini ve bunun yarattığı trafikten kişisel olarak kâr elde ettiğini itiraf etti.
Ebury Botnet, Çok Sayıda Farklı Vektör Aracılığıyla Cihazlara Bulaştı
Bir araştırma, saldırganların Ebury'yi dağıtmak için kullandıkları, SSH kimlik bilgilerinin çalınması, kimlik bilgilerinin doldurulması, barındırma sağlayıcısı altyapısına sızma, Kontrol Web Paneli kusuru CVE-2021-45467 gibi güvenlik açıklarından yararlanma ve SSH ortadaki adam yönetimi dahil olmak üzere çok sayıda taktiği ortaya çıkardı ( MitM) saldırıları.
Ayrıca tehdit aktörlerinin faaliyetlerini gizlemek için sahte veya çalıntı kimlikler kullandıkları da gözlemlendi. Diğer kötü niyetli aktörler tarafından kullanılan altyapıyı tehlikeye attılar, hedeflerine ulaşmak için Ebury kötü amaçlı yazılımını kullandılar ve onları takip etme çabalarını karıştırdılar.
Örneğin saldırganlar, Vidar Stealer'dan veri toplamaktan sorumlu sunucuların güvenliğini ihlal etti. Vidar Stealer aracılığıyla edinilen çalıntı kimlikleri, sunucu altyapısını kiralamak ve faaliyetler yürütmek için kullanarak kolluk kuvvetlerini kasıtlı olarak yanılttılar. Başka bir durumda, Ebury, Mirai botnet yazarlarından birinin sistemini ihlal etmek için kullanıldı ve kodu kamuya açıklanmadan önce ele geçirdi.
Saldırganlar Ek Tehdit Yükleri Sağlamak İçin Ebury'den Yararlandı
Kötü amaçlı yazılım, bir arka kapı ve SSH kimlik bilgisi hırsızı olarak çalışarak saldırganların HelimodSteal, HelimodProxy ve HelimodRedirect gibi ek yükleri tanıtmasına olanak tanır ve böylece güvenliği ihlal edilmiş ağlardaki erişimlerini genişletir. Ebury'nin tespit edilen en son sürümü 1.8.2'dir.
Bu araçlar, ele geçirilen sunuculardan çeşitli yollarla para kazanmaya yöneliktir. Para kazanma stratejileri arasında kredi kartı bilgilerinin çalınması, kripto para hırsızlığı, trafik yönlendirme, spam yayma ve kimlik bilgileri hırsızlığı yer alır.
HelimodSteal, HelimodRedirect ve HelimodProxy, HTTP POST isteklerini engellemek, HTTP trafiğini reklamlara yönlendirmek ve spam dağıtımı için proxy trafiğini yönlendirmek üzere HTTP sunucu modülleri olarak işlev görür. Grup ayrıca, HTTP trafiğini değiştirmek ve yeniden yönlendirmeyi etkinleştirmek için bir Netfilter kancası kullanan KernelRedirect adlı bir çekirdek modülünü de kullanıyor. HelimodSteal, çevrimiçi mağazalara gönderilen kredi kartı verilerini yakalamak için özel olarak tasarlanmıştır ve bu hassas bilgileri virüslü sunuculardan çıkarmak için sunucu tarafında bir web skimmer görevi görür.
Saldırganlar ayrıca barındırma sağlayıcılarının veri merkezlerinde büyük ölçekli ortadaki adam saldırıları için Perl komut dosyalarının yanı sıra güvenlik duvarları üzerinden kötü amaçlı trafiği gizlemek ve izin vermek için yazılımdan da yararlanıyor. Cüzdanlardan kripto para birimini çalmak için değerli varlıkları hedef alıyorlar.
