HolesWarm Malware

HolesWarm kötü amaçlı yazılımı, yalnızca birkaç ay içinde binden fazla bulut sunucusundan ödün vermeyi başaran, platformlar arası bir kripto madenciliği tehdididir. Tehdidin bulaşma oranının yüksek olması, saldırı yöntemini hızla değiştirebilmesine dayanmaktadır. Şimdiye kadar araştırmacılar HolesWarm'ın Apache Tomcat, Spring boot, Jenkins, Shiro, UFIDA, Weblogic, Structs2, XXL-JOB ve Zhiyuan gibi çok sayıda ofis sunucusu bileşeninde bulunan 20'den fazla farklı güvenlik açığından yararlandığını gözlemledi.

Hedeflenen sistemde kurulduktan sonra, HolesWarm mevcut kaynakları ele geçirecek ve bunları Monero madeni paralarını çıkarmak için kullanacak. Ayrıca saldırganlar, güvenliği ihlal edilen sunucu üzerinde kontrol kurabilir ve parola bilgilerini toplayabilir.

Tehdidin davranışını değiştirebilme ve bu kadar çok farklı saldırı yönteminden hızla geçebilme yeteneği, tehdit aktörünün yeterli bilgi birikimine ve yazılım becerisine sahip olduğunu göstermektedir. Aynı zamanda, yerleşik TTP'lerin (Taktikler, Teknikler ve Prosedürler) olmaması, grubun yakın zamanda oluşturulmuş olabileceğini göstermektedir. Tehdidin tespit edilme kolaylığı da bu sonucu desteklemektedir.

Yasadışı bir ihlale maruz kalma olasılığını azaltmak için kuruluşlar gerekli güncellemeleri sunucularına yüklemelidir. Bilinen güvenlik açıklarını yamasız bırakmanın sonuçları yıkıcı olabilir ve ciddi operasyonel aksamalara yol açabilir.