Tehdit aktörleri, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek amacıyla AISURU botnet’inin AIRASHI adlı bir çeşidini dağıtmak için Cambium Networks cnPilot yönlendiricilerindeki belirtilmemiş bir sıfır gün güvenlik açığından yararlanıyor.
QiAnXin XLab’a göre saldırılar, Haziran 2024’ten bu yana güvenlik açığından yararlanıyor. Daha fazla kötüye kullanımı önlemek için eksikliklerle ilgili ek ayrıntılar gizlendi.
Dağıtılmış hizmet reddi (DDoS) botnet’inin silah haline getirdiği diğer kusurlardan bazıları arasında CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE yer alıyor. -2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-28771’in yanı sıra AVTECH IP kameraları, LILIN DVR’leri ve Shenzhen TVT cihazlarını etkileyenler.
XLab, “AIRASHI operatörü DDoS yetenek testi sonuçlarını Telegram’da yayınlıyor” dedi. “Geçmiş verilerden AIRASHI botnet’in saldırı kapasitesinin 1-3 Tbps civarında sabit kaldığı gözlemlenebilir.”
Güvenliği ihlal edilen cihazların çoğunluğu Brezilya, Rusya, Vietnam ve Endonezya’da bulunuyor; Çin, ABD, Polonya ve Rusya, kötü niyetli sürünün birincil hedefleri haline geliyor.
AIRASHI, daha önce Ağustos 2024’te siber güvenlik şirketi tarafından, oyunun çıkışıyla aynı zamana denk gelen ve Steam’i hedef alan bir DDoS saldırısıyla bağlantılı olarak işaretlenen AISURU (namı diğer NAKOTNE) botnet’inin bir çeşididir. Kara Efsane: Wukong.
Sık sık güncellenen bir botnet olan AIRASHI’nin belirli varyasyonlarının da proxy yazılımı işlevselliğini içerdiği bulunmuştur; bu da tehdit aktörlerinin hizmetlerini DDoS saldırılarını kolaylaştırmanın ötesine genişletme niyetinde olduklarını göstermektedir.
AISURU’nun Eylül 2024’te saldırı faaliyetlerini geçici olarak askıya aldığı, ancak bir ay sonra güncellenmiş özelliklerle (pisi adı verilen) yeniden ortaya çıktığı ve Kasım ayının sonunda (diğer adıyla AIRASHI) ikinci kez tekrar yenilendiği söyleniyor.
XLab, “Kedi örneği Ekim 2024’ün başlarında yayılmaya başladı” dedi. “Önceki AISURU örnekleriyle karşılaştırıldığında ağ protokolünü basitleştirdi. Ekim ayının sonunda C2 sunucusuyla iletişim kurmak için SOCKS5 proxy’lerini kullanmaya başladı.”
AIRASHI ise en az iki farklı tada sahiptir –
- AIRASHI-DDoS (ilk olarak Ekim ayı sonlarında tespit edildi), öncelikli olarak DDoS saldırılarına odaklanıyor ancak aynı zamanda isteğe bağlı komut yürütmeyi ve ters kabuk erişimini de destekliyor
- AIRASHI-DDoS’un proxy işlevine sahip değiştirilmiş bir sürümü olan AIRASHI-Proxy (ilk olarak Aralık ayı başında tespit edildi)
Botnet, DNS sorguları yoluyla C2 sunucusu ayrıntılarını elde etmek için yöntemlerini sürekli olarak değiştirmenin yanı sıra, iletişim için HMAC-SHA256 ve CHACHA20 algoritmalarını içeren tamamen yeni bir ağ protokolüne güveniyor. Ayrıca AIRASHI-DDoS 13 mesaj türünü desteklerken AIRASHI-Proxy yalnızca 5 mesaj türünü destekler.
Bulgular, kötü aktörlerin hem ilk erişim vektörü olarak hem de güçlü DDoS saldırılarının arkasına ek ağırlık koymak için bunları kullanan botnet’ler oluşturmak amacıyla IoT cihazlarındaki güvenlik açıklarından yararlanmaya devam ettiğini gösteriyor.
Bu gelişme, QiAnXin’in, Çin hükümetini ve kuruluşlarını virüslü Windows ve Linux sistemlerini bir botnet’e kaydetmeyi hedef alan alphatronBot adlı platformlar arası bir arka kapıya ışık tutmasıyla ortaya çıktı. 2023’ün başından beri aktif olan kötü amaçlı yazılım, diğer virüslü düğümlerle konuşmak için PeerChat adlı meşru bir açık kaynaklı eşler arası (P2P) sohbet uygulamasını benimsedi.
P2P protokolünün merkezi olmayan yapısı, bir saldırganın, güvenliği ihlal edilmiş düğümlerin herhangi biri aracılığıyla, bunları tek bir C2 sunucusu üzerinden yönlendirmek zorunda kalmadan komutlar verebilmesi ve böylece botnet’in yayından kaldırılmalara karşı çok daha dayanıklı olması anlamına gelir.
Şirket, “Arka kapıya yerleştirilmiş 700’den fazla P2P ağı, 80 ülke ve bölgeden virüslü ağ cihazı bileşenlerinden oluşuyor” dedi. “Düğümler MikroTik yönlendiricileri, Hikvision kameraları, VPS sunucularını, DLink yönlendiricilerini, CPE cihazlarını vb. içeriyor.”
Geçtiğimiz yıl XLab, DarkCracks kod adlı, güvenliği ihlal edilmiş GLPI ve WordPress sitelerini indirici ve C2 sunucusu olarak işlev görecek şekilde kullanan karmaşık ve gizli bir yük dağıtım çerçevesinin ayrıntılarını da açıkladı.
“Birincil hedefleri, virüs bulaşmış cihazlardan hassas bilgiler toplamak, uzun vadeli erişimi sürdürmek ve güvenliği ihlal edilmiş, kararlı, yüksek performanslı cihazları, diğer cihazları kontrol etmek veya kötü amaçlı yükler dağıtmak için geçiş düğümleri olarak kullanmak ve saldırganın ayak izini etkili bir şekilde karartmaktır.” söz konusu.
“Ele geçirilen sistemlerin, okul web siteleri, toplu taşıma sistemleri ve hapishane ziyaretçi sistemleri dahil olmak üzere farklı ülkelerdeki kritik altyapılara ait olduğu tespit edildi.”