Devam eden bir dizi proxyjacking saldırılarının arkasındaki saldırganlar, kullanılmayan internet bant genişliğini paylaşmak için ödeme yapan proxyware hizmetleri aracılığıyla onlardan para kazanmak için çevrimiçi olarak maruz kalan savunmasız SSH sunucularına saldırıyorlar.
Saldırganların kripto para birimi için hacklenen sistemleri kullanmalarına izin veren CryptoKacking gibi, proxyjacking, sülük, tehlikeye atılan cihazların kaynaklarının düşük çaba ve yüksek ödül taktiğidir.
Bununla birlikte, proxyjacking'in tespit edilmesi daha zordur, çünkü sadece saldırıya uğramış sistemlerin kullanılmayan bant genişliğinde sülükler ve genel istikrarlarını ve kullanılabilirliklerini etkilemez.
Tehdit aktörleri, izlerini gizlemelerine ve kötü niyetli etkinlikleri gizlemelerine yardımcı olabilecek vekiller kurmak için hacklenen cihazları da kullanabilirken, bu kampanyanın arkasındaki siber suçlular sadece ticari proxyware hizmetleri yoluyla para kazanma ile ilgileniyorlardı.
"Bu, saldırganın SSH'yi uzaktan erişim için kullandığı aktif bir kampanya, kurban sunucularını peer2proxy veya honeygain gibi eşler arası (P2P) bir proxy ağına gizlice görevlendiren kötü amaçlı komut dosyaları çalıştırıyor." Dedi. .
"Bu, saldırganın şüphesiz bir kurbanın ekstra bant genişliğinden para kazanmasına izin veriyor ve kriptominasyon için gerekli olacak kaynak yükünün sadece bir kısmı, daha az keşif şansı ile."
Bu kampanyayı araştırırken Akamai, soruşturmayı başlatan IP'yi içeren bir liste ve çevrimiçi bir forumda paylaşılan en az 16.500 diğer vekil buldu.
Akamai, şirketin Güvenlik İstihbarat Müdahale Ekibi (SIRT) tarafından yönetilen Honeypot'lara birden fazla SSH bağlantısı yapıldıktan sonra 8 Haziran'daki saldırıları fark etti.
Savunmasız SSH sunucularından birine bağlandıktan sonra, saldırganlar, hacklenen sistemleri Honeygain veya Peer2profit'in proxy ağlarına ekleyen Base64 kodlu bir BASH komut dosyası kullandı.
Komut dosyası ayrıca Peer2profit veya Honeygain Docker görüntülerini indirerek ve diğer rakiplerin bant genişliği paylaşım kaplarını öldürerek bir kap oluşturur.
Akamai ayrıca, kötü niyetli komut dosyasını saklamak için kullanılan güvenliği ihlal edilmiş sunucudaki kriptoik saldırılar, istismarlar ve hack araçlarında kullanılan kriptominerler buldu. Bu, tehdit aktörlerinin ya proxyjacking'e tamamen döndüklerini veya ek bir pasif gelir için kullandıklarını göstermektedir.
West, "Proxyjacking, siber suçluların hem kurumsal bir ekosistemdeki hem de tüketici ekosistemindeki uzlaşmış cihazlardan para kazanmasının en yeni yolu haline geldi." Dedi.
"Bu, kriptajlamaya daha kapsamlı bir alternatiftir ve proxy katman 7 saldırılarının zaten hizmet ettiği baş ağrılarını artırabilecek ciddi sonuçları vardır."
Bu, Cisco Talos ve Ahnlab'ın daha önce bildirdiği gibi, Honeygain, Nanowire, Peer2profit, Iproyal ve diğerleri gibi proxyware hizmetlerine ödün verdikleri sistemleri kaydeden birçok benzer kampanyadan sadece bir tanesidir.
Nisan ayında, Sysdig ayrıca, ilk erişim için Log4J güvenlik açığından yararlanan proxyjacker'ları tespit ederek, proxyware botnet'lerine eklenen her 100 cihaz için 1.000 $ 'a kadar kar elde etmelerini sağladı.
Bilgisayar korsanları Linux SSH sunucularını tsunami botnet kötü amaçlı yazılım
Bilgisayar korsanları, VMS'ye gizli erişim için Azure Seri Konsolu kullanır
Kaynak: Bleeping Computer