Devam eden bir analiz KmsdBot botnet, diğer tehdit aktörlerine sunulan kiralık bir DDoS hizmeti olma olasılığını artırdı.
Web altyapı şirketi Akamai, bunun saldırıya uğrayan farklı sektörlere ve coğrafyalara dayandığını söyledi. Dikkate değer hedefler arasında Grand Theft Auto V ve Red Dead Redemption 2 için oyun modifikasyonları olan FiveM ve RedM ile lüks markalar ve güvenlik firmaları yer aldı.
KmsdBot, sistemlere bulaşmak ve kripto para madenciliği gibi faaliyetler gerçekleştirmek ve dağıtılmış hizmet reddi (DDoS) saldırıları düzenlemek için TCP ve UDP kullanarak komutlar başlatmak için SSH’den yararlanan Go tabanlı bir kötü amaçlı yazılımdır.
Ancak, kötü amaçlı yazılım kaynak kodunda bir hata denetleme mekanizmasının olmaması, kötü amaçlı yazılım operatörlerinin geçen ay yanlışlıkla kendi botnetlerini çökertmesine neden oldu.
Akamai araştırmacıları Larry W. Cashdollar ve Allen West, “Gözlemlenen IP’lere ve etki alanlarına göre, kurbanların çoğu Asya, Kuzey Amerika ve Avrupa’da bulunuyor” dedi. “Bu komutların varlığı, hedeflenen oyun sunucularının önceki gözlemlerini takip ediyor ve bu kiralık botnet’in müşterilerine bir bakış sunuyor.”
Saldırı trafiğini inceleyen Akamai, KmsdBot’un uzak bir sunucudan kabul ettiği 18 farklı komut belirledi.
Video oyunu mod sunucularını hedeflemek için tasarlanmış “fivem” ve “redm” gibi komutların yanı sıra “hedef ortamdaki belirli yolları hedefliyor gibi görünen” bir “tarama” talimatı da dahildir.
Botnet’in bulaşma girişimlerinin grafiği, Rusya topraklarında ve komşu bölgelerde minimum aktiviteye işaret ediyor ve potansiyel olarak kökeni hakkında bir ipucu sunuyor.
30 günlük bir süre boyunca gözlemlenen saldırı komutlarının başka bir dökümü, “bigdata” nın 70’den fazla sıklıkta önde olduğunu gösteriyor. “Fivem” e 45 kez çağrı yapılırken, “redm” 10’dan az çağrı gördü.
Araştırmacılar, “Bu bize, oyun sunucularının sunulan belirli bir hedef olmasına rağmen, bu saldırılardan etkilenen tek endüstri olmayabileceğini gösteriyor” dedi. “Birden çok sunucu türü için destek, bu botnet’in genel kullanılabilirliğini artırıyor ve müşteri çekmede etkili görünüyor.”
Bulgular, Microsoft’un MCCrash olarak bilinen ve özel Minecraft sunucularına karşı DDoS saldırıları gerçekleştirme yetenekleriyle birlikte gelen platformlar arası bir botnet’i detaylandırmasından bir hafta sonra geldi.