Mirari ve Kaiten Botnet Çeşitleri Yamasız Yönlendiricilerden Yararlanıyor
Prajeet Nair (@prajeetspeaks) •
27 Aralık 2024
Neredeyse on yıllık D-Link yönlendirici güvenlik açıklarından yararlanan saldırganlar, yama yapılmamış cihazlardan yararlanan Mirari ve Kaiten çeşitleri aracılığıyla 2024 yılında botnet aktivitesinde keskin bir artışa yol açtı.
Ayrıca bakınız: Active Directory Güvenliği Operasyonel Dayanıklılığı Nasıl Artırır?
FortiGuard Labs, Ficora ve Capsaicin olarak bilinen botnet operatörlerinin, Cisco Systems tarafından 2008 yılında satın alınan özel bir ağ protokolü olan ev ağı yönetim protokolündeki zayıflıklardan yararlandığını bildirdi. Aktif olarak kullanılan kusurlar arasında CVE-2015-2051, CVE-2019-10891 yer alıyor. , CVE-2022-37056 ve CVE-2024-33112.
Güvenlik açıkları D-Link DIR-645, DIR-806, GO-RT-AC750 ve DIR-845L yönlendiricilerini etkiliyor. Fortinet, Ficora saldırılarının Hollanda’daki sunuculardan kaynaklandığını ve dünya çapındaki sistemleri hedef aldığını söyledi. Ficora, Mariant’ın bir çeşididir. Kaiten’in bir çeşidi olan kapsaisin vakaları Doğu Asya’da yoğunlaştı ve 21 Ekim ile 22 Ekim civarında zirveye ulaştı.
Ficora, adlı bir kabuk betiğini dağıtır multi ARM ve PowerPC de dahil olmak üzere çeşitli Linux mimarilerine uygun kötü amaçlı yazılımları indirmek için. Komuta ve kontrol sunucusu etki alanlarını ve saldırı parametrelerini içeren yapılandırmasını gizlemek için ChaCha20 şifrelemesini kullanır.
Kötü amaçlı yazılım, gömülü kullanıcı adı-şifre listeleriyle kaba kuvvet saldırıları gerçekleştirerek dvrHelper gibi rakip kötü amaçlı yazılımların kurbanın ana bilgisayarına hakim olmasını devre dışı bırakır.
Capascin aşağıdaki gibi ikili dosyaları indirir ve çalıştırır: yakuza.x86 birden fazla mimariyi hedefliyor. Etkinleştiğinde kurbanın işletim sistemi bilgilerini iletmek ve saldırı komutlarını yürütmek için bir C2 sunucusuyla iletişim kurar. Araştırmacılar, bunun aynı zamanda bilinen bazı rakip botnet kötü amaçlı yazılımlarını da etkisiz hale getirdiğini söyledi.
Özellikleri arasında DDoS komutları ve saldırganlar için yerleşik bir yardım menüsü yer alıyor; bu da Keksec grubunun botnet geliştirme çerçevesiyle bağlantılı gelişmiş bir tasarıma işaret ediyor.