Yeni oluşan bir botnet Andoryu güvenlik açığı bulunan cihazlara girmek için Ruckus Kablosuz Yönetici panelindeki artık yama uygulanmış kritik bir güvenlik açığından yararlandığı tespit edildi.
CVE-2023-25717 (CVSS puanı: 9.8) olarak izlenen kusur, HTTP isteklerinin yanlış işlenmesinden kaynaklanıyor, bu da kimliği doğrulanmamış uzaktan kod yürütülmesine ve kablosuz Erişim Noktası (AP) ekipmanının tamamen ele geçirilmesine yol açıyor.
Andoryu ilk olarak Çinli siber güvenlik firması QiAnXin tarafından bu Şubat ayının başlarında SOCKS5 protokolünü kullanarak komuta ve kontrol (C2) sunucularıyla iletişim kurma becerisini ayrıntılarıyla belgeledi.
Kötü amaçlı yazılımın yayılım için GitLab (CVE-2021-22205) ve Lilin DVR’deki uzaktan kod yürütme kusurlarını silah haline getirdiği bilinmekle birlikte, CVE-2023-25717’nin eklenmesi, Andoryu’nun istismar cephaneliğini botnet’e daha fazla cihazı tuzağa düşürmek için aktif olarak genişlettiğini gösteriyor. .
Fortinet FortiGuard Labs araştırmacısı Cara Lin, “Farklı protokoller için DDoS saldırı modülleri içeriyor ve komuta ve kontrol sunucusuyla SOCKS5 proxy’leri kullanarak iletişim kuruyor” dedi ve en son kampanyanın Nisan 2023’te başladığını ekledi.
Saldırı zincirinin daha ayrıntılı analizi, Ruckus kusuru bir cihaza erişim sağlamak için kullanıldığında, uzak bir sunucudan gelen bir komut dosyasının, yayılmak üzere virüslü cihaza bırakıldığını ortaya çıkardı.
Kötü amaçlı yazılım da kendi adına bir C2 sunucusuyla bağlantı kurar ve ICMP, TCP ve UDP gibi protokolleri kullanarak ilgili hedeflere karşı bir DDoS saldırısı başlatmak için daha fazla talimat bekler.
Bu tür saldırıları düzenlemenin maliyeti, satıcının Telegram kanalındaki bir liste aracılığıyla ilan edilir ve aylık planlar, süreye bağlı olarak 90 ila 115 ABD Doları arasında değişir.
RapperBot Botnet, Yetenek Listesine Kripto Madenciliğini Ekliyor
Uyarı, RapperBot DDoS botnet’in bir Monero kripto madencisi düşürerek güvenliği ihlal edilmiş Intel x64 sistemlerinden kâr elde etmek için cryptojacking işlevselliğini içeren yeni sürümlerinin keşfedilmesinin ardından geldi.
RapperBot kampanyaları, botnet’in DDoS saldırılarını başlatmak için ayak izini genişletmek için öncelikle zayıf veya varsayılan SSH veya Telnet kimlik bilgilerine sahip kaba kuvvet IoT cihazlarına odaklandı.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Fortinet, Ocak 2023’te RapperBot madenci etkinliğinin en son yinelemesini tespit ettiğini ve saldırıların, ayrı XMRig kripto madencilerini ve RapperBot ikili dosyalarını indirip çalıştırabilen bir Bash kabuk komut dosyası sağladığını söyledi.
Kötü amaçlı yazılıma yapılan müteakip güncellemeler, iki farklı işlevi madencilik yeteneklerine sahip tek bir bot istemcisinde birleştirirken, aynı zamanda rakip madenci işlemlerini sonlandırmak için adımlar attı.
İlginç bir şekilde, entegre XMRig madencisine sahip yeni RapperBot örneklerinin hiçbiri, alternatif bir dağıtım mekanizması olasılığını artıran kendi kendine yayılma yetenekleri içermiyor.
Fortinet, “Bu, diğer RapperBot örnekleri tarafından toplanan kimlik bilgilerini kaba kuvvet yetenekleriyle kötüye kullanan ve yalnızca x64 makinelerine birleşik bot/madenci bulaştıran, tehdit aktörü tarafından çalıştırılan harici bir yükleyicinin olası kullanılabilirliğini gösteriyor” dedi.
RapperBot’un cryptojacking’e genişlemesi, finansal olarak motive olmuş tehdit operatörlerinin “botnet’lerinden etkilenen makinelerden maksimum değeri elde etmek” için çevrilmemiş hiçbir taş bırakmadıklarının bir başka göstergesidir.
İkiz gelişmeler, ABD Adalet Bakanlığı’nın kiralık DDoS hizmetleriyle ilişkili 13 internet alan adının ele geçirildiğini duyurmasıyla da geldi.