OSGeo GeoServer GeoTools bileşeninde bulunan kritik CVE-2024-36401 açığı (CVSS 9.8), 2023 sonlarından beri aktif olarak istismar ediliyor. Palo Alto Networks Unit 42 araştırmacıları, saldırganların bu açığı kullanarak SDK veya modifiye uygulamalar dağıtarak ağ bant genişliğini pasif gelir kaynağına dönüştürdüğünü belirtiyor. Dart dilinde geliştirilen bu ikili dosyalar, cihaz kaynaklarını gizlice kullanarak uzun vadeli ve düşük profilli kazanç sağlıyor.
PolarEdge IoT Botneti ve ORB Altyapısı
Censys tarafından analiz edilen PolarEdge, kurumsal güvenlik duvarları, yönlendiriciler ve IoT cihazlarını hedef alan büyük ölçekli bir botnet. Mbed TLS tabanlı özel TLS arka kapısı ile şifreli komut-kontrol sağlanıyor ve yüksek standart dışı portlar üzerinden faaliyet gösteriyor. ORB (Operasyonel Röle Kutusu) teknolojisi sayesinde ele geçirilen cihazlar, temel işlevlerini sürdürürken trafiği sessizce ileterek tespit edilmesi zorlaşıyor. Haziran 2023’ten itibaren yaklaşık 40.000 aktif cihazda enfeksiyon tespit edilmiş, en çok Güney Kore, ABD, Hong Kong, İsveç ve Kanada etkilenmiş.
Gayfemboy Mirai Varyantı ve Çok Mimarili Hedefler
DrayTek, TP-Link, Raisecom ve Cisco ürünlerindeki açıklardan faydalanan Gayfemboy botneti, ARM, AArch64, MIPS R3000, PowerPC ve Intel 80386 mimarilerini hedef alıyor. DDoS saldırıları, arka kapı erişimi, süreç izleme ve sandbox atlatma gibi dört ana işlevi bulunuyor. Fortinet araştırmacıları, kampanyanın Brezilya, Meksika, ABD, Almanya, Fransa, İsviçre, İsrail ve Vietnam gibi ülkelerde geniş sektörlere yayıldığını bildiriyor.
Redis Sunucularında Kripto Madenciliği Kampanyası
TA-NATALSTATUS adlı tehdit aktörü, kimlik doğrulaması olmayan Redis sunucularını hedef alarak gelişmiş kripto madenciliği faaliyetleri yürütüyor. CONFIG, SET ve SAVE komutlarıyla kötü amaçlı cron işleri kuran saldırganlar, SELinux devre dışı bırakma ve rakip madencileri sonlandırma gibi savunma atlatma teknikleri kullanıyor. CloudSEK’in raporuna göre, bu kampanya 2020’de Trend Micro tarafından tespit edilen saldırının evrimi olup, rootkit benzeri yöntemlerle kötü amaçlı süreçleri gizliyor.