Hackerlar Apache açığını kullanarak Linuxsys Kripto madencisi yükünü bırakıyor.

Ana SayfaHaberler* Araştırmacılar, Apache HTTP Sunucusu'ndaki bilinen bir zafiyeti kullanarak Linuxsys kripto para madencisini dağıtan yeni bir saldırıyı ortaya çıkardılar.

• Saldırganlar, tespit edilmekten kaçmak ve kötü amaçlı yazılım yaymak için ele geçirilmiş meşru web sitelerini ve CVE-2021-41773 yol geçiş açığını kullanıyor.
• Kötü amaçlı yazılım, shell betikleri aracılığıyla dağıtılır ve sistem yeniden başlatıldıktan sonra otomatik olarak çalıştırılır; kanıtlar tehditin Windows sistemlerini de hedef aldığını göstermektedir.
• Bu kampanya, çeşitli bilinen yazılım zafiyetlerinden yararlanarak, yasadışı madeni para madenciliği için uzun vadeli, koordineli bir çaba öneriyor.
• Ayrı bir kampanya, Asya'daki hükümet Borsa sunucularını casusluk amacıyla hedef almak için GhostContainer adlı sofistike bir arka kapı kullanıyor. Siber güvenlik firmaları, saldırganların Apache HTTP Sunucusu'ndaki bir güvenlik açığını kullanarak Linuxsys adlı bir kripto para madencilik aracını dağıttığı yeni bir kötü amaçlı yazılım kampanyasını tespit etti. Temmuz 2025'te tespit edilen saldırılar, Apache 2.4.49 sürümündeki CVE-2021-41773 hatasını özellikle hedef alarak yetkisiz kullanıcıların savunmasız sunucularda uzaktan kod çalıştırmasına olanak tanımaktadır.

• Reklam - Tehdit aktörleri, meşru web sitelerini tehlikeye atarak kötü amaçlı yazılımları dağıtıyor ve bunları teslim noktaları olarak kullanıyor. VulnCheck'e göre, saldırganlar enfeksiyonları Endonezyalı bir IP adresinden başlatıyor ve kötü amaçlı kabuk betiklerini almak için “repositorylinux[.]org” adlı bir indirme sunucusu kullanıyor. Bu betikler, Linuxsys madencisini çeşitli güvenilir alan adlarından indirmekten sorumludur, bu da bağlantıların geçerli SSL sertifikaları kullandığı için tespit edilmesini zorlaştırıyor.

Shell script, kurulum sürecini otomatikleştirir ve sistem her yeniden başlatıldığında madencinin başlatılmasını sağlayan başka bir script, “cron.sh” dosyasını bırakır. VulnCheck, bazı ele geçirilmiş sitelerin ayrıca Windows kötü amaçlı yazılım dosyaları içerdiğini gözlemledi ve bu durum kampanyanın kapsamının Linux sistemlerinin ötesine geçebileceğini gösteriyor. Saldırganlar, benzer madencilik faaliyetleri için OSGeo GeoServer GeoTools (CVE-2024-36401)'deki bir hata gibi kritik açıkları daha önce istismar ettiler. Kötü amaçlı yazılım kaynak kodundaki yorumlar, Endonezya ile bağlantıyı öne süren Sunda dilinde yazılmıştır.

Geçmiş saldırılarda madenciyi dağıtmak için kullanılan diğer yazılım güvenlik açıkları arasında Atlassian Confluence'daki şablon enjeksiyonu (CVE-2023-22527), Chamilo LMS'deki komut enjeksiyonu (CVE-2023-34960) ve Metabase ile Palo Alto güvenlik duvarlarındaki benzer açıklar (CVE-2024-0012 ve CVE-2024-9474) bulunmaktadır. “Bunların hepsi, saldırganın uzun vadeli bir kampanya yürüttüğünü, n-gün istismarları gibi tutarlı teknikler kullandığını, ele geçirilmiş ana makinelerde içerik sahnelediğini ve mağdur makinelerde kripto para madenciliği yaptığını gösteriyor,” diye bildirdi VulnCheck.

Ayrı bir olayda, Kaspersky Asya'daki hükümet sunucularına yönelik özel bir saldırı konusunda uyardı. Saldırganlar, GhostContainer adlı özel bir kötü amaçlı yazılım aracılığıyla Microsoft Exchange Sunucularındaki uzaktan kod yürütme açığını (CVE-2020-0688) kullanmış olabilir. Bu arka kapı, harici komut merkezlerine bağlanmadan, normal web istekleri içinde talimatları gizleyerek, ele geçirilen sunuculara tam erişim sağlamaktadır. Bu durum gizliliği artırmaktadır.

Kampanyalar, kamuya mal olmuş yazılım hatalarının sürekli hedef alındığını ve madencilik ve casusluk operasyonlarını yürütürken düşük bir profil sürdürmek için sofistike taktiklerin kullanıldığını göstermektedir.

Önceki Makaleler:

• Trump Tarife Tehditi BRICS'in Ortak Para İhtiyacını Aksatıyor
• Litvanya'nın Axiology'si Dijital Tahvil Ticareti için DLT Lisansı Aldı
• BlackRock, Bitcoin ve Ethereum'a 916 milyon $ yatırım yapıyor, kripto varlıklar artış gösteriyor.
• Bitcoin 123K$'ı Geçti, Trump Görev Gücü Raporu Piyasada Heyecan Yarattı
• XRP $200B Piyasa Değeri'ne Yaklaşıyor, Temmuz'da Bitcoin'e Karşı %35 Artış Gösterdi

• Reklam -