Mirai tabanlı yeni bir botnet olan “Hail Cock Botnet”, DigiEver DVR’ler ve CVE-2023-1389’a sahip TP-Link cihazları da dahil olmak üzere savunmasız IoT cihazlarından yararlanıyor.
Eylül 2024’ten bu yana aktif olan botnet, Mirai kötü amaçlı yazılımının gelişmiş şifrelemeye sahip bir çeşidinden yararlanıyor.
DigiEver DS-2105 Pro cihazlarındaki bir RCE güvenlik açığından yararlanarak URI /cgi-bin/cgi_main.cgi’yi hedef alan saldırılarda yakın zamanda yaşanan artış, bu kampanyayla uyumludur. Güvenlik açığında CVE bulunmuyor ancak daha önce TXOne Research’ten Ta-Lun Yen tarafından açıklanmıştı.
Araştırmacı, çevrimiçi ortamda açığa çıkan savunmasız DigiEver DVR’leri belirledi ve aygıt yazılımını analiz ederek `/cgi-bin/cgi_main.cgi` uç noktasını keşfetti.
Bu uç noktayı kullanarak, savunmasız cihazlarda rastgele kodları başarıyla yürüttüler ve potansiyel olarak uzaktan kontrole veya veri hırsızlığına olanak sağladılar.
Bilinen güvenlik açıklarına sahip cihazları hedeflediği ve DigiEver yönlendiricilerinde (/cfg_system_time.htm ntp parametresi), TP-Link yönlendiricilerinde (/cgi-bin/luci;stok=/locale uç noktası) ve Tenda HG6 yönlendiricilerinde (/ boaform/admin/formTracert).
KOBİ’ler ve MSP’ler için 2024 MITRE ATT&CK Değerlendirme Sonuçları -> Ücretsiz Kılavuzu İndirin
Botnet, uzak sunuculardan kötü amaçlı komut dosyaları indirmek için komutlar enjekte ediyor ve bu komutlar daha sonra Mirai tabanlı kötü amaçlı yazılımları alıp çalıştırıyor. Saldırganlar da benzer teknikler kullanarak CVE-2018-17532 gibi diğer güvenlik açıklarını hedef alıyor.
Analiz edilen Mirai tabanlı kötü amaçlı yazılım örnekleri, XOR ve ChaCha20 algoritmalarını birleştiren karmaşık, çok katmanlı bir şifreleme şeması kullandı; bu, tamamen yeni olmasa da, botnet operatörlerinin taktiklerinde açık bir evrimi ortaya koyuyor.
Botnet bağlantı mesajları ve varsayılan cihaz kimlik bilgileri gibi kritik dizelerin şifresini çözme yeteneği, bu tehditlerin artan karmaşıklığını vurguluyor ve kötü amaçlı yazılım, gelişmiş şifreleme yöntemlerinden yararlanarak tespitten kaçmayı ve analiz çabalarını engellemeyi, böylece erişimini ve etkisini genişletmeyi hedefliyor.
Akamai, kötü amaçlı yazılım örneklerini bir korumalı alan ortamında analiz etti ve kötü amaçlı yazılımın “hailcocks.ru”dan “wget.sh” adlı bir kabuk komut dosyasını indirmek için bir cron işi oluşturduğu ve bunu yürüttüğü, muhtemelen botnet’in C2 sunucusuyla iletişim kurduğu kalıcılık mekanizmalarını gözlemledi. “kingstonwikkerink.dyn” adresinde.
Kötü amaçlı yazılım ayrıca konsolda bir parmak izi bırakıyor; eski sürümler “dolu botnet” ile ilişkisini duyuruyor ve daha yeni sürümler görünüşte zararsız bir mesaj gösteriyor: “Sadece kedilerime bakmak istiyorum dostum.”
Hail Cock botnet’inin yakın zamanda gerçekleştirilen operasyonunun da gösterdiği gibi, siber suçlular eski donanım ve bellenimleri kullanarak botnet’ler oluşturuyor; güvenlik yamaları için üretici desteğine sahip olmayan 10 yıllık DigiEver DS-2105 Pro gibi cihazlar birincil hedeflerdir.
Riskleri azaltmak için kullanıcıların, özellikle üreticiler güncelleme sağlamayı bıraktığında, savunmasız cihazları daha yeni, daha güvenli modellere yükseltmesi gerekiyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin