Ekim 2025’in sonlarında, küresel bir AWS kesintisiyle aynı zamana denk gelen ShadowV2 adlı yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Bu karmaşık tehdit, dağıtılmış hizmet reddi (DDoS) saldırıları için bir botnet oluşturmak amacıyla IoT cihazlarındaki güvenlik açıklarından aktif olarak yararlanıyor.
Kötü amaçlı yazılımın hızlı dağıtımı, büyük ölçekli yıkıcı faaliyetler için güvenliği ihlal edilmiş donanımdan yararlanmaya yönelik koordineli bir çabaya işaret ediyor.
Enfeksiyon teknoloji, eğitim ve perakendenin de aralarında bulunduğu yedi sektöre hızla yayıldı ve ABD, Avrupa ve Asya’daki kuruluşları etkiledi.
Uzmanlar, bu artışın muhtemelen botnet’in yaygın hizmet kesintilerine neden olma potansiyelini değerlendirmek için tasarlanmış bir “test çalışması” olduğuna inanıyor.
Kampanyanın yaygın yapısı, kurumsal ortamlardaki güvenli olmayan bağlı cihazlarla ilişkili kalıcı riskleri vurgulamaktadır.
Fortinet güvenlik analistleri, kötü amaçlı yazılımın D-Link ve TP-Link gibi satıcıların yönlendiricileri ve DVR’lerindeki eski, yama yapılmamış güvenlik kusurlarından yararlandığını tespit etti.
Saldırganlar, bilinen bu zayıflıkları hedef alarak, kuruluşların en son ürün yazılımı yamalarıyla güncellemeyi başaramadığı çok sayıda cihazın güvenliğini başarıyla ele geçirdi.
Saldırı zinciri, savunmasız bir cihaz adlı bir betiği indirmeye zorlandığında başlar. binary.sh adresindeki uzak bir sunucudan 81.88.18.108.
.webp)
Yukarıdaki şekilde görüldüğü gibi, bu komut dosyası, ana bilgisayarın mimarisini (ARM, MIPS veya x86) otomatik olarak algılar ve başarılı bir yürütme sağlamak için ilgili kötü amaçlı yazılım yükünü alır.
ShadowV2’nin Teknik Analizi
ShadowV2, “LZRD” Mirai varyantının mimarisini yansıtır ancak farklı gizleme teknikleri kullanır. Başlatıldığında, anahtarla birlikte basit bir XOR şifresi kullanır. 0x22 yapılandırmasının şifresini çözmek için.
| Satıcı | CVE Kimliği | Güvenlik Açığı Ayrıntıları |
|---|---|---|
| Kaplumbağa | CVE-2009-2765 | HTTP Daemon Keyfi Komut Yürütme |
| D-Link | CVE-2020-25506 | ShareCenter CGI Kod Yürütme |
| D-Link | CVE-2022-37055 | HNAP Ana’sında Arabellek Taşması |
| D-Link | CVE-2024-10914 | Hesap Yöneticisi Komut Ekleme |
| D-Link | CVE-2024-10915 | Hesap Yöneticisi Komut Ekleme |
| DigiEver | CVE-2023-52163 | Zaman Kurulumu CGI Komut Enjeksiyonu |
| TBK | CVE-2024-3721 | DVR Komut Enjeksiyonu |
| TP-Link | CVE-2024-53375 | Okçu Cihazları Komut Enjeksiyonu |
Bu gizli veriler aşağıdaki gibi dosya yollarını içerir: /proc/ve kötü amaçlı trafiği meşru kullanıcı etkinliği olarak maskelemeyi amaçlayan yanıltıcı Kullanıcı Aracısı dizeleri.
.webp)
Kötü amaçlı yazılım etkinleştiğinde, saldırı emirlerini almak için komuta ve kontrol sunucusuyla bağlantı kurar.
UDP taşkınları ve TCP SYN taşkınları da dahil olmak üzere birden fazla DDoS vektörünü destekler ve hedeflere karşı hızlı dağıtım için bu davranışları belirli dahili işlev kimlikleriyle eşleştirir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
