Çinli siber korsanlar Linux sunuculara yönelik saldırı düzenledi

Çinli siber korsan grubu, Linux sunuculara yönelik kripto para üretimini amaçlayan bir siber saldırı düzenledi. Çinli grup, geçtiğimiz sonbahar aylarından bu yana Linux sunuculara kripto para üretimi yapılmasını sağlayan bir zararlı yazılım yüklüyor. Intezer adlı güvenlik araştırma şirketi tarafından tespit edilen saldırıda doğrudan Linux sunucular hedeflenmese de Linux sunucular üzerinde çalışan uygulamalar hedefleniyor.

Pacha Group adı verilen saldırganlar WordPress veya PHPMyAdmin gibi hizmetleri ele geçirmek için kaba kuvvet saldırısı düzenliyorlar ve bu hizmetlerin kontrolünü ele geçiriyorlar. Sonrasında Linux.GreedyAntd adlı zararlı yazılımı Linux sunuculara bulaştırıyorlar. Yazılım oldukça karmaşık bir kod yapısına sahip ve saldırganlara gelişmiş komut ve kontrol alanı sağlıyor.

Sunucuya bulaştıktan sonra kripto para üreten zararlı yazılımı temizlemesi de oldukça zor. Normal bir Linux zararlı yazılımı gibi hareket etmeyen Antd, gerçek bir mandb hizmetiymiş gibi görünen bir systemd hizmeti ekliyor. Bu da tespit edilmesi ve temizlenmesini zorlaştırıyor. Ne aradığınızı bilmediğiniz sürece zararlı yazılımı tespit edemiyorsunuz. Bu da Pacha Group’un ne yaptıklarını çok iyi bildiklerini gösteriyor.