Araştırmacılar, Dark Frost’un DDoS saldırıları gerçekleştirmek için Qbot, Gafgyt ve Mirai kötü amaçlı yazılımlarından çalınan/sızan kaynak kodu kullanılarak oluşturulduğuna inanıyor.
Web altyapısı şirketi Akamai’nin Security Intelligence Response Team, DDoS saldırılarıyla oyun sektörünü hedefleyen yeni bir botnet keşfetti.
Akamai güvenlik araştırmacısı Allen West, bu botnet’e Dark Frost adını verdiklerini açıkladı. Analizlerine göre bu botnet, Qbot, Gafgyt ve Mirai dahil olmak üzere daha önce keşfedilen birkaç botnet ve kötü amaçlı yazılım türüne benziyor. Araştırmacılar, Dark Frost’un, saldırganların DDoS saldırılarını başarılı bir şekilde gerçekleştirmesine izin vermek için bu türlerden çalınan kodlar kullanılarak oluşturulduğuna inanıyor.
Nasıl Keşfedildi?
Akamai, botnet’i Şubat 2023’te işaretledi, ancak saldırganın Mayıs 2022’den beri aktif olduğuna inanıyorlar. Akamai araştırmacıları botnet’i tersine çevirdiğinde, bir UDP sel saldırısı yoluyla botnet’in potansiyeli 629,28 Gbps olarak bildirildi. İlk ikili örnek, 28 Şubat’ta Akamai SIRT’in HTTP Honeypot’larında toplandı.
Bildirildiğine göre, tehdit aktörü, Hadoop YARN sunucularında uzaktan kod yürütmelerini sağlayan yanlış yapılandırmaları hedef aldı. Bu YARN hatalı yapılandırması 2014’ten beri var, ancak henüz bir CVE atanmadı, bu nedenle saldırganlar kötü amaçlı ikili programlarını indirmesi/çalıştırması için sunucuyu kandırabilir.
Öne Çıkan Hedefler
Akamai’nin blog gönderisine göre, Dark Frost’un en belirgin hedefleri arasında oyun şirketleri, çevrimiçi akış hizmetleri, oyun sunucusu barındırma sağlayıcıları ve oyun topluluğu üyeleri yer alıyor. Aslında araştırmacılar, saldırganın bu üyelerle doğrudan etkileşime girdiğini kaydetti.
Güdü nedir?
Araştırmacılar bu kampanyanın asıl amacını belirleyemeseler de dikkat çekmeye yönelik olduğundan şüpheleniyorlar. İlginç bir şekilde, tehdit aktörü saldırıların canlı kayıtlarını bile yayınladı.
Ayrıca, botnet’i düşmanlarla hesaplaşmak ve ikili dosyalara dijital imzalar bırakmak için kullandıklarını iddia ederek sosyal medyadaki bu saldırılarla övünüyorlar. Oyuncu ayrıca para karşılığında DDoS hizmetleri sunmak için bir Discord kanalı oluşturmuş, bu da bu kampanyanın finansal amaçlı olabileceğini gösteriyor.
Hızla Artan Bot Ordusu
Tipik olarak, botnet’ler dünya çapında bulunan yüzlerce ve binlerce güvenliği ihlal edilmiş cihazdan oluşur. Dark Frost’un durumunda, kısa bir süre içinde güvenliği ihlal edilmiş yüzlerce cihazı dahil etti. Şubat 2023’e kadar bu botnet, x86, ARMv4, ARM7, MIPSEL ve MIPS dahil olmak üzere farklı komut seti mimarileri çalıştıran 414 güvenliği ihlal edilmiş makineye sahipti.
İLGİLİ MAKALELER
- Çevrimiçi oyun oynama ve siber saldırılara karşı koruma
- RapperBot kötü amaçlı yazılımı oyun sunucularını DDoS saldırılarıyla vuruyor
- Oyun Devi Activision Çalışanları SMS Kimlik Avı Saldırısına Uğradı
- Oyun kumandası üreticisi 1,1 milyon müşteri kaydını ifşa etti
- Oyunlarda toplanan veriler, kullanıcı gizliliğini ihlal etmek için nasıl kullanılabilir?