Sevimli Hayvan Fotoğraflarına Gizlenen Yeni Linux Zararlı Yazılımı Keşfedildi!
Siber suçlular, zararlı yazılımlarını gizlemek için her geçen gün daha yaratıcı ve daha aldatıcı yöntemler buluyor. Siber güvenlik firması AquaSec‘teki araştırmacılar, bu yöntemlerin en son ve en ilginç örneklerinden birini ortaya çıkardı: sevimli hayvan fotoğraflarının içine gizlenmiş yeni bir Linux zararlı yazılımı. “Koske” olarak adlandırılan bu yazılım, masum bir yapay zeka ürünü panda resmi gibi görünen bir dosyanın içine gizlenerek, ele geçirdiği sunucuları bir kripto para madenciliği zombisine dönüştürüyor.
Bu kampanya, saldırganların hedeflerine sızmak için “poliglot dosyalar” gibi sofistike teknikleri nasıl kullandığını gözler önüne seriyor.
Saldırı Nasıl İşliyor? Poliglot Dosya Tuzağı
Bu saldırının merkezinde, poliglot dosyalar adı verilen özel bir dosya türü yatıyor.
- Poliglot Dosya Nedir?: Bu, onu çalıştıran programa bağlı olarak farklı şekillerde okunabilen ve işlenebilen bir dosyadır. Örneğin, aynı dosya bir resim görüntüleyici tarafından açıldığında masum bir .JPEG resmi gibi görünürken, bir betik yorumlayıcısı tarafından çalıştırıldığında içindeki gizli zararlı kodu yürütebilir.
Saldırganlar bu yöntemi şu adımlarla kullanıyor:
- Hedef Tespiti: İnternete açık ve uzaktan komut yürütülmesine izin verecek şekilde yanlış yapılandırılmış JupyterLab sunucularını hedef alıyorlar.
- Masum Görünümlü İndirme: Ele geçirdikleri sunucuya, OVH images veya postimage gibi meşru resim barındırma servislerinden, yapay zeka ile oluşturulmuş masum bir panda ayısı fotoğrafı (.JPEG) indiriyorlar.
- Gizli Kodu Çalıştırma: Ardından, bu resim dosyasını bir betik yorumlayıcısı aracılığıyla çalıştırarak, resmin içine gizlenmiş olan asıl zararlı kodu, yani kripto para madencisini, aktif hale getiriyorlar.
Amaç: Kripto Para Madenciliği
Bu karmaşık sızma yönteminin nihai amacı, kurbanın sunucusunun kaynaklarını sömürmek.
- Aktif hale gelen zararlı yazılım, hem CPU hem de GPU için optimize edilmiş bir kripto para madencisidir.
- Bu madenci, 18’den fazla farklı türde kripto para birimi üretmek için sunucunun işlem gücünü ve elektriğini kullanır.
Araştırmacılar, bu yöntemin saldırganlar için nispeten az kâr getirdiğini, ancak bulut bilişim gücü ve elektrik maliyetleri nedeniyle kurbanlar için çok büyük maliyetlere yol açtığını belirtiyor.
Saldırının Arkasında Kim Var? Sırp Hacker Şüphesi
AquaSec, bu zararlı yazılımı kesin olarak belirli bir gruba atfedemese de, saldırının arkasında Sırbistan bağlantılı bir grup olabileceğine dair bazı önemli ipuçları buldu:
- Saldırılarda kullanılan bazı IP adreslerinin Sırbistan merkezli olduğu tespit edildi.
- Zararlı betiklerin içinde Sırpça ifadeler bulundu.
- Madencileri barındıran GitHub deposunda ise Slovakça diline rastlandı.
Bu olay, internetten indirilen en masum görünen bir resim dosyasının bile ne kadar tehlikeli olabileceğini gösteren çarpıcı bir örnek. Özellikle sunucu yöneticilerinin ve geliştiricilerin, kullandıkları araçların yapılandırmalarını ve güvenlik ayarlarını düzenli olarak kontrol etmesi hayati önem taşıyor.
Siz internetten bir resim veya dosya indirirken, kaynağının ne kadar güvenilir olduğuna dikkat ediyor musunuz? Bu tür gizli tehditlere karşı alınabilecek en iyi önlem sizce nedir? Düşüncelerinizi yorumlarda bizimle paylaşın!
