Botnetler, bu cihazlar üzerinde kontrol sahibi olmak için yönlendiricilere saldırır ve bunları kötü amaçlı faaliyetler yürütmek için kullanılabilecek “zombilere” dönüştürür.
Tespit edilemeden tüm yasa dışı faaliyetlerini yürütürler ve DDoS saldırıları, kötü amaçlı yazılım yayma, daha fazla ağ ihlalini kolaylaştırma ve daha birçok faaliyette bulunurlar.
Ekim 2023’te Gi7w0rm, esas olarak Microsoft Azure örneklerine yönelik düşük hacimli kaba kuvvet saldırılarına katılan ve haftada yalnızca 2-3 oturum açma girişimiyle tespiti zorlaştıran yaklaşık 10.000 düğümden oluşan bir ağ olan “7777 botnet”e ilk kez atıfta bulundu.
Başlangıçta VIP kullanıcıları hedef aldığı düşünülen Sekoia’nın araştırmaları sonucunda net bir hedefleme örüntüsü olmadığı ortaya çıktı.
Bunun yanı sıra Team Cymru, bu yeni botnet konusunda uyarıda bulunarak, bu yeni botnetin ASUS yönlendiricilerine saldırdığını ve 63256 numaralı portu açtığını duyurdu.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
ASUS Yönlendiricilerine Saldıran Botnet
Adını, tehlikeye atılmış yönlendiricilerde 7777 numaralı TCP portunu benzersiz bir şekilde kullanmasından alan botnet, tarandığında xlogin: başlığını döndürüyor.
Quad7’yi siber suçlar ve devlet destekli faaliyetlerle ilişkilendiren atıflar var ancak gerçek operatörler hala bilinmiyor.
Quad7 botlarını, xlogin: başlığını gösteren 7777 portlu açık IP adreslerine sahip olup olmadıklarını kontrol ederek bulabilirsiniz.
Otuz günlük bir süre boyunca yapılan bu tür taramalardan biri, Gi7w0rm’un Ekim ayında bildirdiği 10.000 düğümden nispeten daha küçük olan 7038 düğümü ortaya çıkardı.
Bunun, daha uzun zaman dilimlerini kapsayabilecek veya daha kısa aralıklarla yapılabilecek ilk bulgulardan farklı olmasının birkaç nedeni vardır.
Sadece bununla kalmayıp, kullanıcıların o tarihten sonra cihazlarını temizlemiş veya yönlendiricilerine yönelik saldırıları önlemek için aygıt yazılımlarını güncellemiş olması da mümkün olabilir.
Buna rağmen Quad7 hala aktif ve başlıca kurbanları arasında Hikvision’ın yanı sıra TP-LINK WR841N yönlendiricisi de dahil olmak üzere TP-Link cihazları yer alıyor.
Buna ek olarak, etkilenen bazı birimler ayrıca, kaba kuvvet saldırısı yöntemini kullanarak öncelikli olarak Microsoft Office 365 hesaplarını hedefleyen üçüncü taraf sunuculara trafik yönlendirmek için bir SOCKS5 proxy’si tarafından kullanılan 11288 numaralı açık bir bağlantı noktasını da belirtti.
.webp)
Bu proxy hizmetinin, onu açık kaynaklı bir proje kapsamında geliştiren Çin’in Hangzhou kentindeki bir GitHub kullanıcısına dayandığı tespit edildi.
Hedef alınan donanım modelleri ve botnet faaliyetlerine ilişkin bu tür özel içgörüler, Team Cymru da dahil olmak üzere bu ağların operasyonlarını izlemek ve bozmak için çalışan güvenlik ekipleri için yararlı olduğu kanıtlanmıştır.
Söz konusu ana bilgisayarlarda 11288 numaralı açık port bulundu ve bu port ortak bir başlık (\x05\xff) sunarak “7777 botnet” ile ilgili soruları gündeme getirdi.
.webp)
7777 (xlogin:) ve 63256 (alogin:) portlarındaki banner aramalarında yaklaşık 12.783 ana bilgisayar tespit edilerek beş binden fazla yeni ‘zombi’ cihazın eklendiği bir büyüme gözlemlendi.
7777 botnet’iyle ilişkili TP-LINK router’larında ve 63256 botnet’iyle ilişkili ASUS router’larında değişiklik var.
NetFlow analizi, her iki botnet için de yedi adet yönetim IP adresi olduğunu ve dolayısıyla iki altyapıyı birbirine bağlamanın yanı sıra operasyonel yönlerinin de ortaya çıktığını gösterdi.
Etkilerini boşaltmaya yönelik girişimlere rağmen Quad7, büyük ve uyarlanabilir bir tehdit olmaya devam ediyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Güncel Ürün Yazılımını Koruyun
- Sağlam Güvenlik Uygulamalarını Uygulayın
- Sürekli Dikkat ve Proaktif Tedbirler
- İşbirliği ve Bilgi Paylaşımı
- Gelişmiş İzleme Araçlarını Kullanın
IoC’ler
.webp)
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download