Hackerlar Tedarik Zinciri Saldırısıyla 390.000 WordPress Hesabını Hackledi
Siber güvenlik araştırmacıları, MUT-1244 adlı bir tehdit aktörünün, truva atı yerleştirilmiş bir WordPress şifre doğrulama aracı kullanarak 390.000’den fazla WordPress hesabının bilgilerini ele geçirdiğini tespit etti. Bu saldırı bir yıl boyunca sürdü ve diğer siber saldırganları hedef aldı.
Hackerlar Tedarik Zinciri Saldırısıyla Neleri Çaldı?
Araştırmaları yapan Datadog Security Labs, bu saldırı sırasında sadece WordPress kimlik bilgilerinin değil, aynı zamanda yüzlerce başka kurbandan şu bilgilerin de çalındığını belirledi:
- SSH özel anahtarları,
- AWS erişim anahtarları,
- Önemli sistem bilgileri ve dosyalar.
Kurbanlar arasında, güvenlik test uzmanları (penetrasyon testi yapanlar), güvenlik araştırmacıları ve kötü niyetli siber saldırganlar bulunuyor.
Saldırı Nasıl Gerçekleşti?
Saldırılar, iki ana yöntemle gerçekleştirildi:
- GitHub’da Truva Atı Yerleştirilmiş Kodlar
Tehdit aktörü, GitHub’da, sahte güvenlik açığı test araçları (PoC’ler) gibi görünen zararlı kodlar yayınladı. Bu araçları indirip çalıştıran güvenlik uzmanları ve siber saldırganlar, farkında olmadan bilgisayarlarına zararlı yazılım yüklemiş oldu. - Sahte Güncelleme ile Oltalama (Phishing)
Kurbanlara, “CPU mikro kodu güncellemesi” gibi görünen sahte bir e-posta gönderildi. Bu e-posta, kurbanların zararlı yazılım içeren komutları çalıştırmasını sağladı.
Siber Güvenlik Araştırmacıları da Hedef Oldu
MUT-1244, sahte PoC kodlarını, güvenlik açıklarını araştıran profesyonelleri hedeflemek için kullandı. Bu kodlar, güvenlik uzmanlarının ilgi duyacağı isimlerle adlandırıldı ve popüler güvenlik kaynaklarına (örneğin Feedly Threat Intelligence veya Vulnmon) “meşru” olarak eklendi. Bu sayede, sahte araçların güvenilir görünmesi sağlandı ve daha fazla kişi bu kodları çalıştırdı.
İlginizi çekebilecek yazımız: PTT’nin HGS Uygulaması Hacklendi: Siber Saldırılar Artıyor, Kullanıcılar Tehlikede mi?
Nasıl Zararlı Yazılım Yüklendi?
Saldırganlar, GitHub havuzları aracılığıyla zararlı yazılımları dağıtmak için şu yöntemleri kullandı:
- Truva atı yerleştirilmiş yapılandırma dosyaları,
- Zararlı PDF dosyaları,
- Python yükleyiciler (Python kodları),
- Projelerin bağımlılıklarına eklenmiş zararlı npm paketleri.
Amaç: Bilgi Çalmak ve Kripto Para Madenciliği
Saldırı kapsamında kullanılan zararlı yazılımlar şunları içeriyor:
- Kripto Para Madencisi
Kurbanların sistemlerini Monero madenciliği yapmak için kullandılar. - Arka Kapı
Kurbanların sistemlerinden şu bilgileri toplamak ve çalmak için bir arka kapı oluşturuldu:- SSH anahtarları,
- AWS erişim bilgileri,
- Çevresel değişkenler (environment variables),
- “~/.aws” gibi dizinlerdeki önemli dosyalar.
Çalınan Veriler Nereye Gönderildi?
Çalınan bilgiler, Dropbox ve file.io gibi dosya paylaşım servislerine gönderildi. Araştırmacılar, saldırganların bu servislerde kullanmak üzere zararlı yazılımlarına hazır giriş bilgileri (kullanıcı adı ve şifre) eklediğini buldu. Bu, saldırganların çalınan bilgilere kolayca erişmesini sağladı.
Özetle:
MUT-1244, güvenlik açıklarıyla ilgilenen uzmanları kandırarak, sahte yazılımlar ve oltalama yöntemleriyle binlerce kişinin kimlik bilgilerini çaldı. Bu saldırılar sırasında hem güvenlik araştırmacıları hem de kötü niyetli aktörler hedef alındı.
Haber Kaynağı: Bleeping Computer