5 Aralık 2025
En güncel:
Siber Güvenlik

Apache HTTP Sunucusu Açığı, Linuxsys Kripto Madencisini Yaymak İçin Kötüye Kullanılıyor

Osman Selçok

GhostContainer Zararlısı: Exchange Server’lar Hedefte!

Asya’daki kamu kurumlarını hedef alan yeni bir APT kampanyası tespit edildi: GhostContainer adlı gelişmiş arka kapı yazılımı, Microsoft Exchange Server sistemlerine gizlice yerleşiyor.

Siber güvenlik firması Kaspersky, Microsoft Exchange Server üzerindeki olası bir N-günü güvenlik açığının (muhtemelen daha önce yamanmış olan CVE-2020-0688, CVSS skoru: 8.8) kötüye kullanılarak Asya’daki kamu kurumlarını hedef alan bir saldırı kampanyası yürütüldüğünü duyurdu. Bu kampanyada kullanılan zararlı yazılımın adı GhostContainer.

Saldırganlara Tam Yetki Veriyor

GhostContainer, oldukça gelişmiş, çok işlevli bir arka kapı yazılımı. Kaspersky, zararlının “ek modüller indirerek dinamik olarak işlevselliğini genişletebildiğini” ve Exchange sunucusu üzerinde tam kontrol sağladığını belirtti. Bu sayede saldırganlar:

  • Shellcode çalıştırabiliyor,
  • Dosya indirip silebiliyor,
  • Komutlar çalıştırabiliyor,
  • .NET bayt kodu yükleyebiliyor,
  • Web proxy ve tünelleme modülleriyle ağı manipüle edebiliyor.

Gizli Kontrol Yöntemi

GhostContainer zararlısı, geleneksel komuta-kontrol (C2) altyapısıyla iletişim kurmuyor. Bunun yerine saldırganlar dışarıdan doğrudan hedef Exchange sunucusuna bağlanıyor ve kontrol komutlarını Exchange’in normal web istekleri içine gizliyor. Bu yaklaşım, fark edilmeden uzun süreli sızmalar gerçekleştirilmesini sağlıyor.

Kimin Yaptığı Belirsiz, Yetkinlikleri Yüksek

Saldırganların kimliği henüz belirlenemedi; ancak Microsoft Exchange altyapısı konusundaki derin teknik bilgi düzeyleri ve halka açık kodları gelişmiş casusluk araçlarına dönüştürme yetenekleri, bunların ileri düzeyde bir tehdit aktörü (APT) olduğunu gösteriyor.

Apache HTTP Sunucusu Açığı, Linuxsys Kripto Madencisini Yaymak İçin Kötüye Kullanılıyor

Yeni bir siber saldırı kampanyasında, Apache HTTP Server yazılımında bilinen bir güvenlik açığının kullanıldığı ve bu açık aracılığıyla Linuxsys adlı kripto para madenciliği zararlısının sistemlere sızdırıldığı tespit edildi.

Siber güvenlik araştırmacıları, Apache HTTP Server sürüm 2.4.49’da bulunan ve CVE-2021-41773 olarak izlenen kritik bir açık üzerinden saldırıların gerçekleştiğini raporladı. Söz konusu zafiyet, yüksek öneme sahip (CVSS skoru: 7.5) bir path traversal (yol geçişi) açığı olup, uzaktan komut çalıştırmaya (RCE) olanak tanıyor.

Güvenlik araştırma firması VulnCheck tarafından paylaşılan rapora göre, saldırganlar, halihazırda ele geçirilmiş yasal internet sitelerini kötüye kullanarak zararlı yazılımı yaymakta ve tespit edilmeden sistemlere sızabilmektedir.

Bu saldırı kampanyası ilk olarak bu ayın başlarında gözlemlendi ve saldırının 103.193.177[.]152 IP adresi üzerinden, Endonezya kaynaklı olarak başlatıldığı belirlendi. Saldırganlar, curl veya wget komutları ile repositorylinux[.]org alan adından ikinci aşama bir payload indirmeye çalışıyor.

İndirilen yük, hedef sistem üzerinde bir shell betiği çalıştırarak, Linuxsys kripto para madencisini farklı meşru web siteleri üzerinden indiriyor. Güvenlik araştırmacılarına göre bu durum, saldırganların birçok üçüncü taraf sunucuyu ele geçirmiş olabileceğini ve zararlıyı bu altyapılar üzerinden yaydığını gösteriyor.

Öne Çıkan Teknik Bulgular:

  • Zafiyet: CVE-2021-41773
  • Etkilenen sürüm: Apache HTTP Server 2.4.49
  • Açığın türü: Path Traversal / Remote Code Execution
  • Zararlı Yazılım: Linuxsys Cryptocurrency Miner
  • Kullanılan altyapılar: Meşru web siteleri üzerinden shell script ile çoklu dağıtım
  • Saldırının kaynağı: Endonezya IP – 103.193.177[.]152

Uzman Yorumu

Bu tür saldırılar, eski ve yamalanmamış yazılımların sistemlerde barındırılmasının ne denli büyük bir risk taşıdığını bir kez daha ortaya koyuyor. Kurumların, özellikle dışa açık Apache servislerini sürekli olarak güncel tutması, intrusion detection system (IDS) ve web application firewall (WAF) çözümleriyle desteklemesi önem arz ediyor.

💥 Apache HTTP Sunucu Açığı Üzerinden ‘Linuxsys’ Kripto Madenciliği Zararlısı Yayılıyor

Bilişim sistemlerine sızmak isteyen tehdit aktörleri, Apache HTTP Server’daki kritik bir güvenlik açığını istismar ederek yeni bir kripto para madenciliği kampanyası başlattı. Hedef: Linux sistemler.

Siber güvenlik araştırmacıları, kamuya açık Apache HTTP Server 2.4.49 sürümünde bulunan ve 2021 yılında tespit edilen CVE-2021-41773 kodlu yüksek riskli bir güvenlik açığının (CVSS skoru: 7.5) aktif olarak kötüye kullanıldığını ve bu açık üzerinden Linuxsys adlı bir kripto madenciliği yazılımının dağıtıldığını duyurdu.

📌 Zafiyetin Detayı:
Bu zafiyet, path traversal (yol geçişi) üzerinden uzaktan komut çalıştırılmasına olanak tanıyor. Tehdit aktörleri, bu açıklığı kullanarak sistemlere yetkisiz erişim sağlıyor ve zararlı yazılım yüklemesi gerçekleştirebiliyor.

💡 Tehdit Aktörlerinin Yöntemi

VulnCheck tarafından tespit edilen kampanya, saldırganların daha önce ele geçirilmiş meşru web sitelerini zararlı yazılım dağıtımı için kullandığını gösteriyor. Böylece hem tespit edilmekten kaçınılıyor hem de dağıtım süreci oldukça “sessiz” şekilde yürütülüyor.

🛠️ Bulaşma Süreci:

  • Saldırılar genellikle 103.193.177[.]152 IP adresi üzerinden başlatılıyor (İndonezya kaynaklı).
  • Sisteme bulaştırılan ilk zararlı bir shell script, curl ya da wget komutları ile “repositorylinux[.]org” adresinden bir sonraki aşama payload dosyasını indiriyor.
  • Bu payload, beş farklı meşru web sitesi üzerinden Linuxsys madencisini indiriyor. Bu da saldırganların üçüncü parti altyapıları istismar ettiğini gösteriyor.

🛡️ SSL ile Kamuflajlı Saldırı

VulnCheck raporuna göre:

“Bu yöntem zekice çünkü kurbanlar, geçerli SSL sertifikalarına sahip olan meşru sitelere bağlanıyor. Bu da saldırının tespit edilmesini zorlaştırıyor. Aynı zamanda, zararlı yazılımın asıl olarak barındırılmadığı repositorylinux[.]org adresi için bir koruma katmanı oluşturuyor.”

Ek olarak, saldırıya uğrayan bu sitelerde cron.sh adında ikinci bir shell script de tespit edildi. Bu script, sistem her yeniden başlatıldığında kripto madencisinin otomatik olarak başlatılmasını sağlıyor.

🎯 Windows Sistemler de Tehlikede

Söz konusu sitelerde sadece Linux tabanlı scriptler değil, iki farklı Windows çalıştırılabilir dosya (.exe) de yer alıyor. Bu da, saldırganların aynı kampanya kapsamında Windows sistemleri de hedef alabileceği olasılığını gündeme getiriyor.

🔁 Daha Önce Nerede Görüldü?

Linuxsys zararlısı ilk kez Fortinet FortiGuard Labs tarafından 2024 Eylül ayında analiz edilen bir saldırı dalgasında fark edildi. Bu önceki saldırılar, OSGeo GeoServer GeoTools yazılımında bulunan ve kritik seviye olarak değerlendirilen CVE-2024-36401 kodlu bir zafiyeti (CVSS skoru: 9.8) hedef alıyordu.

İlginç bir şekilde, güvenlik açığının istismar edilmesinin ardından indirilen kabuk betiği (shell script), “repositorylinux[.]com” adresinden çekiliyor ve kaynak kodundaki yorum satırları Endonezya’da konuşulan bir dil olan Sundaca (Sundanese) ile yazılmış. Aynı betiğin, vahşi doğada (wild) ilk olarak Aralık 2021’de tespit edildiği bildiriliyor.

Son yıllarda kripto madenciliği zararlısını dağıtmak amacıyla istismar edilen diğer bazı güvenlik açıkları ise şunlar:

  • CVE-2023-22527: Atlassian Confluence Data Center ve Confluence Server’da bulunan şablon enjeksiyonu açığı
  • CVE-2023-34960: Chamilo Öğrenme Yönetim Sistemi’nde (LMS) bulunan komut enjeksiyonu açığı
  • CVE-2023-38646: Metabase platformunda yer alan komut enjeksiyonu açığı
  • CVE-2024-0012 ve CVE-2024-9474: Palo Alto Networks güvenlik duvarlarında kimlik doğrulama atlatma ve ayrıcalık yükseltme açıkları

VulnCheck bu gelişmelerle ilgili şu değerlendirmeyi yaptı:

“Tüm bu bulgular, saldırganın uzun vadeli ve sürekli bir kampanya yürüttüğünü gösteriyor. Bu kampanyada n-gün açıklarının (n-day) istismarı, ele geçirilmiş sistemlerde içerik barındırma ve mağdur makinelerde kripto madenciliği gibi tutarlı teknikler kullanılıyor.”

“Başarılarının bir kısmı dikkatli hedef seçiminden kaynaklanıyor. Düşük etkileşimli honeypot sistemlerinden özellikle kaçındıkları, saldırılarının gözlemlenebilmesi için yüksek etkileşimli sistemleri tercih ettikleri görülüyor. Ele geçirilmiş sunucular üzerinden zararlı yazılım dağıtımı yapmaları ise saldırganın tespitten büyük ölçüde kaçınmasına yardımcı olmuş durumda.”

GhostContainer Arka Kapısı ile Exchange Sunucularına Saldırı

Kaspersky, Asya’daki devlet kurumlarını hedef alan yeni bir siber casusluk kampanyasını ortaya çıkardı. Saldırganların, Microsoft Exchange Server’da yer alan ve artık yamalanmış olan bir güvenlik açığını (CVE-2020-0688, CVSS puanı: 8.8) kullandığı ve “GhostContainer” adlı özel bir arka kapı (backdoor) yerleştirdiği düşünülüyor.

Kaspersky, GhostContainer’ı “karmaşık ve çok işlevli bir arka kapı” olarak tanımlıyor. Bu zararlı yazılım, ek modüllerin indirilmesiyle dinamik olarak genişletilebiliyor ve saldırganlara hedef Exchange sunucusu üzerinde tam yetki sağlıyor. Yani saldırganlar; keyfi komut çalıştırabiliyor, dosya indirip yükleyebiliyor, silme veya okuma işlemleri yapabiliyor, shellcode çalıştırabiliyor ve .NET byte kodları yükleyebiliyor.

Ayrıca GhostContainer, bir web proxy ve tünelleme (tunneling) modülü de içeriyor. Bu da saldırganlara hedef ağlar içinde gizli ve şifreli bir şekilde iletişim kurma olanağı tanıyor.

Bu faaliyetin, yüksek değerli hedeflere — özellikle yüksek teknoloji şirketlerine — yönelik gelişmiş kalıcı tehdit (APT) kampanyasının bir parçası olduğu değerlendiriliyor. Kaspersky uzmanları, saldırganların Microsoft Exchange Server mimarisi konusunda oldukça derin bir bilgiye sahip olduğunu ve herkese açık kaynak kodlarını gelişmiş casusluk araçlarına dönüştürme becerisi gösterdiğini belirtiyor.

Kaspersky’nin dikkat çektiği bir diğer önemli detay ise GhostContainer arka kapısının, herhangi bir komuta kontrol (C2) sunucusuyla doğrudan bağlantı kurmaması. Bunun yerine saldırgan, dışarıdan doğrudan hedef sunucuya bağlantı kuruyor ve komutlarını normal Exchange web istekleri içine gizleyerek iletiyor.

Bu gelişmeler, kurumsal e-posta altyapılarında güvenlik yamalarının zamanında uygulanmasının ve Exchange benzeri sistemlerin düzenli olarak izlenmesinin kritik önem taşıdığını bir kez daha gösteriyor.

📌 Bilişim Profesyonelleri’nin Notu:
Bu vakalar, açık kaynak yazılımlar üzerindeki açıklara karşı sistem güncellemelerinin ne kadar hayati olduğunu bir kez daha ortaya koyuyor. Özellikle web sunucusu yöneten sistem yöneticilerinin Apache sürümlerini güncel tutmaları ve sistem izleme araçlarını daha etkin kullanmaları büyük önem taşıyor.

Haberin kaynağına bu linkten ulaşabilirsiniz.

Bunları da sevebilirsiniz

Google Chrome Tür Karmaşası Güvenlik Açığı

Sevgi Yılmaz Selçok

CrowdStrike, Microsoft Arızasının “Temel Nedenini” Açıkladı

Sevgi Yılmaz Selçok
DDoS saldırısı hedef avrupa bankası

DDoS saldırısı hedef Avrupa Bankası

Osman Selçok