Mirai botnet, siber suçlular tarafından büyük ölçekli DDoS saldırıları başlatmak için kullanılan, virüs bulaşmış bilgisayarlar, yönlendiriciler ve IoT cihazlarından oluşan kötü amaçlı bir ağdır.
Mirai’nin yıkıcılığı, operatörlerinin aşağıdaki yasa dışı şeyleri yapmasına olanak tanıyan çok sayıda bağlı cihazı tehlikeye atma ve kontrol etme yeteneğinde yatmaktadır: –
- Çevrimiçi hizmetleri kesintiye uğratın
- Yaygın internet kesintilerine neden oluyor
Ekim 2023’ün sonlarında Akamai SIRT araştırmacıları, bal küplerinde alışılmadık bir TCP bağlantı noktasını hedefleyen aktivitenin arttığını gözlemledi. Bilgisayar korsanlarının Mirai kötü amaçlı yazılımını dağıtmak için aktif olarak 0 günlük RCE açıklarından yararlandığını buldular.
Bir patlamayla başlayan ve günde 20 denemeyle zirveye çıkan incelemeler, POST isteği ve komut enjeksiyonu yoluyla kimlik doğrulamaya odaklandı.
Hedeflenen cihazlar 9 Kasım 2023’e kadar bilinmiyordu. İnternet çapında yapılan bir tarama sırasında alışılmadık bir HTTP yanıt başlığı bulunduğunda, ilk olarak amaçlanan profille eşleştiği tespit edilen makinelerin orijinalliğiyle ilgili şüpheler dile getirildi.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Bilgisayar Korsanları 0 Günlük RCE Kusurlarından Yararlanıyor
Akamai SIRT, nadiren kullanılan bir TCP bağlantı noktasını hedefleyen etkinlikte bir artış gözlemledi ve bu, NVR cihazlarında potansiyel bir sıfır gün istismarını ortaya çıkardı. Saldırı, açılış sayfalarında istemci tarafı JavaScript şifrelemesini içeriyordu ve bu da düz metin kimlik bilgilerine yol açtı.
Daha ileri araştırmalar, ürün kılavuzlarında gözlemlenen varsayılan kimlik bilgilerini doğrulayan belirli bir NVR üreticisine işaret etti. Satıcı sıfır günü kabul etti ve Aralık 2023’e kadar bir düzeltme yapmayı planlıyor.
Ayrıca kampanya, oteller ve konutlarda kullanıma yönelik çıkış tabanlı kablosuz LAN yönlendiricilerini hedef alan ikinci bir sıfır gün istismarını da gösterdi; ayrıntıların ilgili satıcıdan Aralık ayında beklenmesi bekleniyor.
JenX varyantına odaklanan bu Mirai botnet etkinliği, özellikle Grand Theft Auto’yu kullanan IoT cihazlarını işe alıyor. C2 alanları IP çakışmalarını ve senkronize altyapı değişikliklerini paylaşır.
Özellikle IP adreslerinin, genel modelden farklı olarak sınırlı C2 etki alanı çözünürlükleri vardı. JenX Mirai varyantı, uzlaşma üzerine benzersiz bir dize yazdırıyor; ‘Tanrım, şu Çinli aile…’ gibi, muhtemelen sıkıcı alan adlarıyla bağlantılı.
Bu davranışla ilişkili bir kötü amaçlı yazılım örneği ‘iaxtpa’ etki alanına gönderildi[.]C2 IP 45.142.182’den parodi[.]96.
C2 adresleri CIDR bloğu 5.181.80.0/24’e bağlanır ve alanlar, belirli zamanlarda değişen IP çözünürlüklerinde çakışma gösterir. Küme JenX ve hailBot Mirai çeşitlerini kullanıyor. JenX dosya adları “jkxl” ve hailBot dosya adları “skid”dir.
Örnek “skid.mpsl”, C2 sunucusu 5.181.80’den alınan bu dizeyi yansıtıyor[.]120, husd8uasd9’a bağlanılıyor[.]çevrimiçi. DStatCC kanalı C2 altyapısından bahsediyor; Telegram hesabı silinmiş olan kullanıcı “infectedchink”e atıfta bulunuyor[.]”cat”ı “eski ICANN alanı” olarak adlandırın.
Mevcut etki alanları OpenNIC üzerinden çalıştırılırken, kullanıcı proxy alt IP’lerini listeler ve bot ekran görüntülerini (Telnet, Vacron, ntel, UTT-Bots) paylaşır. PasteBin dökümü “@RedDrip7” Mayıs 2023’te Rus haber sitelerini hedef alan C2 alan adlarını ortaya koyuyor. Mirai’nin Ekim 2023’teki kodu Nisan 2023’e göre değişmedi, bu da minimum değişiklik olduğunu gösteriyor.
IOC’ler
SHA256SUM’lar:
dabdd4b5a3a70c64c031126fad36a4c45feb69a45e1028d79da6b443291addb8 arm
3f3c2e779f8e3d7f2cc81536ef72d96dd1c7b7691b6e613f5f76c3d02909edd8 arm5
75ef686859010d6164bcd6a4d6cf8a590754ccc3ea45c47ace420b02649ec380 arm6
f8abf9fb17f59cbd7381aa9f5f2e1952628897cee368defd6baa6885d74f3ecc arm7
8777f9af3564b109b43cbcf1fd1a24180f5cf424965050594ce73d754a4e1099 kdvrarm7
ac43c52b42b123e2530538273dfb12e3b70178aa1dee6d4fd5198c08bfeb4dc1 mips
a4975366f0c5b5b52fb371ff2cb034006955b3e3ae064e5700cc5365f27a1d26 mpsl
cd93264637cd3bf19b706afc19944dfb88cd27969aaf0077559e56842d9a0f87 nigga.sh
8e64de3ac6818b4271d3de5d8e4a5d166d13d12804da01ce1cdb7510d8922cc6 ok.sh
35fcc2058ae3a0af68c5ed7452e57ff286abe6ded68bf59078abd9e7b11ea90a ppc
7cc62a1bb2db82e76183eb06e4ca84e07a78cfb71241f21212afd1e01cb308b2 sh4
29f11b5d4dbd6d06d4906b9035f5787e16f9e23134a2cc43dfc1165127c89bff spc
cfbcbb876064c2cf671bdae61544649fa13debbbe58b72cf8c630b5bfc0649f9 x86a3b78818bbef4fd55f704c96c203765b5ab37723bc87aac6aa7ebfcc76dfa06d mpsl
ac43c52b42b123e2530538273dfb12e3b70178aa1dee6d4fd5198c08bfeb4dc1 mips
Kötü amaçlı yazılım örnekleri:
arm: ELF 32-bit LSB executable, ARM, version 1 (ARM), statically linked, stripped
arm5: ELF 32-bit LSB executable, ARM, version 1 (ARM), statically linked, stripped
arm6: ELF 32-bit LSB executable, ARM, EABI4 version 1 (SYSV), statically linked, stripped
arm7: ELF 32-bit LSB executable, ARM, EABI4 version 1 (SYSV), statically linked, with debug_info, not stripped
kdvrarm7: ELF 32-bit LSB executable, ARM, EABI4 version 1 (SYSV), statically linked, with debug_info, not stripped
mips: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
mpsl: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
nigga.sh: ASCII text
ok.sh: ASCII text
ppc: ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV), statically linked, stripped
sh4: ELF 32-bit LSB executable, Renesas SH, version 1 (SYSV), statically linked, stripped
spc: ELF 32-bit MSB executable, SPARC, version 1 (SYSV), statically linked, stripped
x86: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, stripped
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.