Bronz Silüet olarak da bilinen Volt Typhoon’un “KV-botnet” adı verilen karmaşık bir botnet ile bağlantılı olduğu keşfedildi.
Tehdit aktörü, en az Şubat 2022’den bu yana Küçük Ofis/Ev Ofis yönlendiricilerini hedeflemek için bu botnet’i kullanıyor. Bunların birincil hedefleri, kötü amaçlı trafiği proxy olarak kullanmak için kullanılan yönlendiriciler, güvenlik duvarları ve VPN cihazlarıdır.
Microsoft ve ABD hükümetinin raporlarına göre bu tehdit aktörü, gelecekte yaşanabilecek çatışmalar durumunda ABD ile Asya arasındaki iletişimi kesintiye uğratmak için altyapılarını oluşturuyor.
Çinli Hackerlar Eski Yönlendiricileri Ele Geçirdi
Cyber Security News ile paylaşılan rapora göre, kampanya için kullanılan IP adresleri Çin Halk Cumhuriyeti’ne atfedildi.
Buna ek olarak operasyonların Çin Standart Saati’ne göre mesai saatleri içerisinde gerçekleşmesi, tehdit aktörünün menşei konusunda güveni artırıyor.
Botnet iki farklı etkinliğe bölünmüştür: hedefleri taramak için daha az karmaşık tekniklere sahip olan “JDY kümesi” ve yüksek profilli hedeflere karşı manuel operasyonlar için ayrılan “KV kümesi”.
Üstelik botnet, düşük güvenliğe sahip olduğundan ve kötüye kullanılması kolay olduğundan, SOHO kuruluşları tarafından kullanılan kullanım ömrü sonundaki cihazları da hedef alıyor. Özellikle odaklanılan cihazlar Cisco RV320’ler, DrayTek Vigor yönlendiricileri ve NETGEAR ProSAFE güvenlik duvarlarıydı.
Enfeksiyon Zinciri
Tehdit aktörü, enfeksiyon zinciri için bash komut dosyası da dahil olmak üzere birden fazla dosya kullanıyor. Yarı spesifik süreçlere sahiptirler ve güvenliği ihlal edilen cihazlarda varsayılan olarak çalışan güvenlik araçlarını kaldırırlar.
Kaçınma tekniklerinin bir parçası olarak, botnet’ler C2 iletişimi için rastgele bağlantı noktalarıyla kuruluyor ve adlarını mevcut süreçlermiş gibi gizliyor.
Tehdit aktörleri bu botnet’lerle iletişim kurar ve veri sızdırma, veri iletimi, ağ bağlantıları oluşturma, görev yürütme ve daha birçok işlemi gerçekleştirir.
Ayrıca, bu botnet hakkında, botnet enfeksiyon zinciri, süreç yürütme, saldırı yöntemleri, kaçırma teknikleri ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.