GuardiCore isimli bir güvenlik ekibi, 6 Haziran’da yayınlanan bir açıklamaya göre kötü niyetli bir trafik manipülasyonu ve bu doğrultuda bir kripto para madenciliği hareketi keşfetti. Bu madencilik işlemleri, finans, eğitim ve hükümet de dahil olmak üzere çeşitli alanlardaki 40.000’den fazla cihaz üzerinde gerçekleşti.
Prowli Operasyonu adı altında yürütülen saldırıda kötü amaçlı yazılımları yaymak ve internet sunucuları, modemler ve IoT (internet of things-nesnelerin interneti) cihazları gibi cihazları devralmak için istismarlar ve parola zorlama gibi çeşitli eylemler gerçekleşti. GuardiCore, Prowli Operasyonu’nun arkasındaki saldırganların ideoloji ya da casusluktan ziyade para kazanmaya odaklandığını söyledi.
Yayınlanan raporlara göre, saldırı gerçekleştirilen cihazlara Monero (XMR) madencisi ve r2r2 isimli bir solucan bulaştırıldı. r2r2 solucanı, saldırıya uğramış cihazlarda SSH brute-force saldırıları yürüten ve işi bittiğinde yeni kurbanları etkilemek için Prowli’ye geri dönen kötü amaçlı bir yazılımdır. Başka bir deyişle, rastgele bir şekilde IP adres blokları oluşturarak, r2r2 solucanı ile birlikte bir kullanıcı adı/şifre havuzundan veri kullanarak SSH brute-force saldırıları düzenlediler. Başarılı saldırılar sonucunda kurbanların üzerinde bir dizi komut çalıştırdılar.
GuardiCore’un söyledikleri şu şekilde:
” Saldırıların hepsi aynı şekilde gerçekleşti. Aynı C&C sunucusuyla iletişim kurarak r2r2 adındaki saldırı aracını indirip kripto para madenciliği yaptılar. “
Bunların yanında siber dolandırıcılar, siteyi ziyaret eden kişileri trafik dağıtım sistemine yönlendiren kötü amaçlı kodları barındırmak için güvenliği ihlal edilmiş web sitelerini değiştirmek üzere “WSO Web Shell” adlı açık kaynaklı bir webshell kullandılar ve bunları diğer çeşitli kötü amaçlı sitelere yönlendirdiler. Sahte bir web sitesine yönlendirildikten sonra kullanıcılar, kötü amaçlı tarayıcı uzantılarına tıklayarak mağdur oldular. Ayrıca GuardiCore ekibi Prowli’nin 9.000’den fazla şirkete şantaj yaptığını bildirdi.
Geçtiğimiz ay, yeni bir kötü amaçlı kripto para yazılımı parçası yarım milyon bilgisayarı kullanarak üç gün içerisinde 133 adet Monero (XMR) kazmıştı. Siber güvenlik firması olan 360 Total Security, WinstarNssmMiner olarak adlandırılan bu kötü amaçlı yazılımın, virüs bulaşmış makinelerde hem madencilik yapma hem de cihazı çökertme yeteneğinin olduğunu keşfetti.