Palo Alto Networks'ün araştırma ekibi Unit 42, bulutu hedef alan yeni bir eşler arası (P2P) solucan hakkında P2PInfect adlı bir araştırma raporu yayınladı. Bu solucan, konteyner etkili güvenlik açıklarından yararlanarak savunmasız Redis sistemlerini hedef alıyor. Aynı zamanda Birim 42, Mallox fidye yazılımı hakkında da bir rapor yayınladı. Araştırmacılar, fidye yazılımını yaymak için MS-SQL sunucularının kötüye kullanılmasıyla birlikte etkinlikte neredeyse yüzde 50'lik bir artış gözlemledi.
11 Temmuz 2023'te Birim 42 bulut araştırmacıları, P2PInfect adını verdikleri yeni bir eşler arası (P2P) solucan keşfettiler. Yüksek düzeyde ölçeklenebilir ve bulut dostu Rust programlama dilinde yazılan bu solucan, platformlara bulaşma yeteneğine sahiptir. Bulut ortamlarında yaygın olarak kullanılan popüler bir açık kaynaklı veritabanı uygulaması olan Redis'i hedef alıyor.
P2PInfect - kendi kendini kopyalayan eşler arası solucan
Redis örnekleri hem Linux hem de Windows işletim sistemlerinde çalışabilir. Birim 42 araştırmacıları, son iki hafta içinde halka açık olarak iletişim kuran 307.000'den fazla Redis sistemi tespit etti; bunlardan 934'ü bu P2P solucan çeşidine karşı savunmasız olabilir. 307.000 Redis örneğinin tümü savunmasız olmasa bile solucan yine de bu sistemlere saldıracak ve onları tehlikeye atmaya çalışacaktır.
P2PInfect solucanı, Lua sanal alan kaçış güvenlik açığından (CVE-2022-0543) yararlanarak savunmasız Redis örneklerine bulaşıyor. Bu, P2PInfect solucanının bulut konteyner ortamlarında çalışması ve yayılması açısından daha etkili olmasını sağlar. Burada, Birim 42 araştırmacıları solucanı HoneyCloud ortamlarındaki bir Redis konteyner örneğinin güvenliğini ihlal ederek keşfettiler.
Solucan bal kabındaki Redis konteynerine saldırıyor
Bu, genel bulut ortamlarındaki yeni bulut tabanlı saldırıları tanımlamak ve araştırmak için tasarlanmış bir dizi balküpüdür. Güvenlik açığı 2022 yılında duyurulmasına rağmen kapsamı henüz tam olarak bilinmiyor. Ancak NIST Ulusal Güvenlik Açığı Veritabanında kritik CVSS puanı 10,0 ile derecelendirilmiştir. Ayrıca P2PInfect'in hem Linux hem de Windows işletim sistemlerinde çalışan Redis sunucularından yararlanması onu diğer solucanlardan daha ölçeklenebilir ve etkili kılıyor. Araştırmacıların gözlemlediği P2P solucanı, bu güvenlik açığı kullanılarak yapılabilecek ciddi saldırılara örnek teşkil ediyor.
Mallox Fidye Yazılımı: Etkinlikte önemli artış
🔎 Mallox saldırısının XDR çözümü tarafından kaydedilmesi (Resim: Palo Alto Networks).
TargetCompany, Fargo ve Tohnichi olarak da bilinen Mallox, Microsoft (MS) Windows sistemlerini hedef alan bir fidye yazılımı türüdür. Haziran 2021'den bu yana aktif olan bu saldırı, kurbanların ağlarını tehlikeye atmak için güvenli olmayan MS-SQL sunucularından bir sızma vektörü olarak yararlanılmasıyla karakterize ediliyor.
Son zamanlarda Birim 42 araştırmacıları Mallox fidye yazılımı aktivitesinde bir artış gözlemledi. 2023 yılı başından bu yana Mallox faaliyetleri istikrarlı bir şekilde arttı. Telemetri ve açık kaynak verilerine göre Mallox saldırılarının sayısı 2023 yılında 2022 yılına göre yüzde 174 arttı. Mallox fidye yazılımı grubu yüzlerce kurbanın olduğunu iddia ediyor. Kurbanların gerçek sayısı bilinmemekle birlikte, Birim 42 telemetri verileri dünya çapında imalat, profesyonel ve hukuki hizmetler, toptan ve perakende dahil olmak üzere çeşitli sektörlere yayılmış düzinelerce potansiyel kurban olduğunu gösteriyor.
Mallox çifte şantaj yapıyor
Diğer birçok fidye yazılımı grubu gibi Mallox fidye yazılımı da çifte fidye trendini takip ediyor: Saldırganlar verileri çalıyor, dosyaları şifreliyor ve kurbanların fidyeyi ödemesini sağlamak için çalınan verileri sızdıran bir web sitesinde yayınlamakla tehdit ediyor. Her kurban, grupla Tor tarayıcısı aracılığıyla iletişim kurmak ve şartlar ve ödeme konusunda görüşmek için özel bir anahtar alır.
Araştırmacılar, bellek içi inceleme gerçekleştirmek ve süreç ekleme tekniklerini tespit etmek için bir XDR/EDR çözümü kullanılmasını öneriyor. Tehdit avcılığı, kuruluşların güvenlik ürünü atlatma, yatay hareket hizmeti hesapları ve etki alanı yöneticileriyle ilgili kullanıcı davranışlarıyla ilgili olağandışı davranış işaretlerini aramasına olanak tanır.
PaloAltoNetworks.com'da daha fazlası
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.