Yeni bir saldırı dalgasında, Mirai botnet kötü amaçlı yazılımının bir çeşidi olan MooBot, Palo Alto Network’ün 42. Birimindeki siber güvenlik uzmanları tarafından yakın zamanda tespit edildi.
Geçen ayın başında yeni bir saldırı dalgası ortaya çıkmaya başladı. Bu yeni saldırı dalgası, bu kötü niyetli kampanyanın bir parçası olarak çoğunlukla savunmasız D-Link yönlendiricilerini hedef aldı.
Fortinet analistleri tarafından Aralık 2021’de yapılan bir analiz sonucunda Mirai varyantı MooBot keşfedildi. Kötü amaçlı yazılımın şimdi hedefleme kapsamını güncellediği bildirildi.
Aslında, botnet’lerin kurbanlarını tuzağa düşürmek için yem olarak kullanabilecekleri savunmasız cihazların kullanılmayan su birikintilerini aramaları muhtemeldir.
D-Link Cihazlarında Hedeflenen Kusurlar
D-Link cihazlarında birkaç güvenlik açığı var, ancak bunlar arasında MooBot dört kritik olanı hedef aldı ve burada bunlar aşağıda belirtilmiştir:-
- CVE-2015-2051: D-Link HNAP SOAPAction Başlığında Komut Yürütme Güvenlik Açığı (CVSS Sürüm 2.0: 10.0 Yüksek)
- CVE-2018-6530: D-Link SOAP Arayüzü Uzaktan Kod Yürütme Güvenlik Açığı (CVSS Sürüm 3.0: 9.8 Kritik)
- CVE-2022-26258: D-Link Uzaktan Komut Yürütme Güvenlik Açığı (CVSS Sürüm 3.0: 9.8 Kritik)
- CVE-2022-28958: D-Link Uzaktan Komut Yürütme Güvenlik Açığı (CVSS Sürüm 3.0: 9.8 Kritik)
Güvenlik açıkları, saldırganlar tarafından ana bilgisayarda kod yürütmek için uzaktan kullanılabilir 159.203.15[.]179 ve ana bilgisayardan MooBot indiricisini indirin.
Kusurların etkisini azaltmak için satıcı tarafından yayınlanan güvenlik güncellemeleri bulunmaktadır. Ancak, güncellemelerin tümü tüm kullanıcılar tarafından uygulanmadı.
Teknik Analiz
MooBot operatörleri tarafından istismar edilen kusurlarla ilişkili düşük bir saldırı karmaşıklığı vardır. Hedeflerde RCE kazanıldığında, rastgele komutlar kullanılarak kötü amaçlı bir ikili dosya alınır.
Tehdit aktörlerinin kontrolü altındaki C2’de, yeni yakalanan tüm yönlendiriciler kayıt altına alınır. Kötü amaçlı yazılım, yapılandırma dosyasının sabit kodlanmış adresinin kodunu çözdükten sonra bu hesaplama gerçekleştirilir.
Unit 42’nin raporundaki C2 adreslerinin Fortinet’in raporundaki adreslerden farklı olması dikkat edilmesi gereken önemli bir fark. Tehdit aktörünün altyapısının yenilendiğine dair bir gösterge.
Güvenliği ihlal edilmiş bir D-Link cihazı, kullanıcıların aşağıdakiler gibi bir dizi semptomu fark etmesine neden olabilir:-
- İnternet hız düşüşü sorunları
- tepkisizlik
- Yönlendirici aşırı ısınma
- Belirsiz DNS yapılandırma değişiklikleri
Öneriler
Bu sorunu önlemek için siber güvenlik araştırmacıları, kullanıcıları mümkün olduğunda yamaları ve yazılımları güncellemeye çağırdı. Halihazırda güvenliğinizin ihlal edilmiş olabileceğine inanıyorsanız, aşağıdaki önerileri izlemeniz önerilir:-
- Yönlendiricinizi sıfırlamanız önerilir.
- Yönetici hesabınızın şifresinin değiştirilmesi gerekiyor.
- En son güvenlik güncellemelerinin kurulu olduğundan emin olun.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap