Bilgisayar korsanları ele geçirilmiş IP adresleriyle para kazanıyor
Çevrimiçi akıncılar, IP adreslerini çalıyor ve bunları sözde proxyware hizmetlerine satarak nakde çeviriyor.
Çevrimiçi akıncılar, IP adreslerini çalıyor ve bunları sözde proxyware hizmetlerine satarak nakde çeviriyor.
Sysdig'deki tehdit araştırma ekibinin Salı günü bildirdiğine göre, kötü niyetli aktörler sahibinin bilgisi olmadan bilgisayarlara proxyware yerleştiriyor, ardından birimin IP adresini bir proxyware hizmetine satarak güvenliği ihlal edilen her cihaz için ayda 10 ABD Doları kadar para kazanıyor.
Araştırmacılar, bir şirket blogunda, proxy yazılım hizmetlerinin bir kullanıcının internet bağlantısını başkalarıyla paylaşarak para kazanmasına izin verdiğini açıkladı. Ancak saldırganlar, kötü niyetli kripto para birimi madenciliğinin virüs bulaşmış sistemlerin CPU döngülerinden para kazanmaya çalışmasına benzer şekilde, kurbanların internet bant genişliğinden para kazanmak için platformlardan yararlanıyor.
Tehdit tespiti ve müdahalesi için San Francisco merkezli bir SaaS platformu üreticisi olan Sysdig'de tehdit araştırma direktörü Michael Clark, "Proxyware hizmetleri yasaldır, ancak korumaları ve kısıtlamaları atlamak isteyen kişilere hitap eder," dedi.
TechNewsWorld'e "Bot korumasını atlamak için konut adreslerini kullanıyorlar"
Örneğin, çok sayıda spor ayakkabı markası satın almak çok karlı olabilir, ancak web sitelerinin, satışı tek bir çiftle ve bir IP adresiyle sınırlandırmak için korumalar koyduğunu açıkladı. Mümkün olduğu kadar çok çift alıp yeniden satmak için bu proxy IP adreslerini kullanırlar.
"Siteler ayrıca konut IP adreslerine diğer adres türlerinden daha fazla güveniyor" diye ekledi. "Bu nedenle konut adreslerinde bu kadar prim var, ancak bulut hizmetleri ve cep telefonları da bu hizmetler için arzu edilir hale gelmeye başlıyor."
Etkileyenler için Yiyecek
California, Milpitas'ta bir ağ güvenlik duvarı üreticisi olan SonicWall'da ürün güvenliğinden sorumlu kıdemli yönetici Immanuel Chavoya, bu uygulamaların genellikle tavsiye programları aracılığıyla tanıtıldığını ve birçok önemli "etki sahibi"nin onları pasif gelir fırsatları için teşvik ettiğini söyledi.
TechNewsWorld'e "Gelir arayanlar, bant genişliğini paylaşmak ve para kazanmak için yazılımı indiriyor" dedi.
"Ancak," diye devam etti, "bu proxyware hizmetleri, kullanıcılar ev ve mobil IP adresleri kullanılarak gerçekleştirilen etkinlikleri kontrol edemediğinden, kullanıcıları orantısız düzeyde risklere maruz bırakabilir."
"Kullanıcıların veya altyapılarının farkında olmadan suç faaliyetlerine karıştığı durumlar oldu" diye ekledi.
Bu tür faaliyetler, potansiyel tıklama dolandırıcılığı veya sessiz reklam sitelerine erişmeyi, SQL enjeksiyon araştırmasını, Linux ve Unix sistemlerindeki kritik /etc/passwd dosyasına (bir sisteme erişimi olan kayıtlı kullanıcıları takip eden) erişme girişimlerini, hükümet web sitelerini taramayı, ulusal kimlikler ve sosyal güvenlik numaraları dahil olmak üzere kişisel olarak tanımlanabilir bilgilerin taranması ve sosyal medya hesaplarının toplu kaydı.
Organizasyonlar Dikkat Edin
Kirkland, Washington'da bir uç nokta yönetimi ve güvenlik platformunun üreticisi olan Tanium'un baş güvenlik danışmanı Timothy Morris, proxy yazılım hizmetlerinin web trafiği oluşturmak veya web arama sonuçlarını değiştirmek için kullanılabileceğini belirtti.
TechNewsWorld'e verdiği demeçte, "Bazı proxy istemcileri, 'truva atı' haline getirilebilen" veya kötü niyetli "bonus içerik" ile birlikte gelir ve proxy hizmetini çalıştıran bilgisayarın, genellikle kripto madenciliği için yetkisiz kullanımını sağlar" dedi.
Sysdig Tehdit Araştırma Mühendisi Crystal Morin, proxyware istilasına uğramış kuruluşların bulut platformu yönetim maliyetlerinin arttığını ve hizmet bozulmasını görebileceğini belirtti.
TechNewsWorld'e "Ve ağınızda kripto madenciliği veya proxyjacking yapan bir saldırgan olması, tüm yaptıklarının bu olduğu anlamına gelmez" dedi.
"Log4j veya başka bir güvenlik açığı kullanıyorlarsa ve ağınıza erişimleri varsa, sistemi kar için kullanmanın ötesinde bir şeyler yapıyor olabileceklerine dair bir endişe var, bu nedenle önlem almanız ve önlem almanız gerekiyor." diğer kötü niyetli faaliyetler.”
Clark, bir kuruluşun da proxyjacking nedeniyle bazı itibar riskleriyle karşı karşıya kalabileceğini ekledi.
"IP'si alınan bir şirket veya kuruluşla ilişkilendirilebilecek yasa dışı faaliyetler olabilir ve tehdit istihbarat servisleri için reddedilen bir listeye girebilirler, bu da insanlar IP'yi bırakmayı bırakırsa bir dizi soruna yol açabilir. kurbanın internet bağlantıları” dedi.
"Olabilecek potansiyel kolluk soruşturmaları da var"
Sysdig araştırmacıları tarafından ortaya çıkarılan proxyjacking etkinliğinin kuruluşları hedef aldığını da sözlerine ekledi. "Saldırganlar tüm internet üzerinden geniş bir ağ oluşturdu ve bulut altyapısını hedef aldı" dedi.
"Genellikle," diye devam etti, "bu tür saldırıları Windows reklam yazılımlarında bir arada görürdük. Bu sefer daha iş odaklı olan bulut ağlarının ve sunucularının hedeflendiğini görüyoruz.”
Log4j Güvenlik Açığı Kullanıldı
Sysdig araştırmacıları tarafından incelenen saldırganlar, hedeflerini tehlikeye atmak için Log4j güvenlik açığından yararlandı. 2021'de keşfedilen popüler bir açık kaynaklı Java tabanlı kayıt yardımcı programında bulunan bu kusurun, tüm kurumsal bulut ortamlarının %93'ünü etkilediği tahmin ediliyor.
Araştırmacılar, "Milyonlarca sistem hala Log4j'nin savunmasız sürümleriyle çalışıyor ve Censys'e göre bunların 23.000'den fazlasına internetten erişilebilir" diye yazdı.
"Log4j, proxyjacking kötü amaçlı yazılımını dağıtmak için tek saldırı vektörü değil, ancak bu güvenlik açığı tek başına teorik olarak ayda 220.000 dolardan fazla kâr sağlayabilir" diye eklediler. "Daha ihtiyatlı bir şekilde, 100 IP'lik mütevazi bir uzlaşma, ayda yaklaşık 1.000 ABD Doları tutarında bir pasif gelir netleştirecektir."
Kurumsal siber için SaaS sağlayıcısı Vulcan Cyber'de kıdemli teknik mühendis olan Mike Parkin, bunun bir sorun olmaması gerekirken, Log4J güvenlik açığına karşı savunmasız olan ve yama uygulanmayan sistemlerin "uzun bir kuyruğu" olduğunu gözlemledi. Tel Aviv, İsrail'de risk iyileştirme.
TechNewsWorld'e verdiği demeçte, "Savunmasız sistemlerin sayısı azalmaya devam ediyor, ancak sıfıra ulaşması için hala bir süre var - ya kalan tüm sistemler yamalanıyor ya da geri kalanlar bulunup sömürülüyor" dedi.
Morris, "Güvenlik açığından aktif olarak yararlanılıyor," diye ekledi. "Ayrıca savunmasız sürümün hala indirilmekte olduğuna dair raporlar var."
Tespit Yoluyla Koruyun
Kendilerini proxy hırsızlığına karşı korumak için Morin, güçlü ve sürekli gerçek zamanlı tehdit tespiti önerdi.
"CPU kullanımında ani artışlar göreceğiniz cryptojacking'in aksine, burada CPU kullanımı oldukça az," diye açıkladı. "Dolayısıyla, bunu tespit etmenin en iyi yolu, saldırının öldürme zinciri yönlerini aradığınız tespit analitiğidir - ilk erişim, güvenlik açığından yararlanma, tespitten kaçınma, kalıcılık."
Chavoya, kuruluşlara, son kullanıcı cihazlarında hangi tür uygulamalara izin verildiğine ilişkin uygulama beyaz listesi yoluyla ayrıntılı kurallar oluşturmalarını tavsiye etti.
Beyaz listeye alma, kuruluşun ağındaki cihazlarda çalıştırılabilecek onaylanmış uygulamaların bir listesini oluşturmayı ve diğer tüm uygulamaların çalışmasını engellemeyi içerir.
Chavoya, "Bu, proxy yazılımlarının ve diğer kötü amaçlı yazılım türlerinin bir kuruluşun ağındaki cihazlarda çalışmasını önlemenin oldukça etkili bir yolu olabilir" dedi.
"Son kullanıcı cihazlarında hangi tür uygulamalara izin verildiğine ilişkin ayrıntılı kurallar oluşturarak, kuruluşlar yalnızca yetkili ve gerekli uygulamaların çalışmasına izin verildiğinden emin olabilir" diye devam etti.
"Bu, son kullanıcı cihazlarında çalışan yetkisiz uygulamalara dayanan proxy korsanlığı ve diğer siber saldırı türlerinin riskini büyük ölçüde azaltabilir."