Mart 2025’in başlarında, güvenlik ekipleri ilk olarak birden fazla sektörde web uygulamalarını hedefleyen benzeri görülmemiş bir L7 DDOS botnet gözlemledi.
1,33 milyon uzlaştırılmış başlangıçta hızla genişleyen botnet, HTTP’nin sunucu kaynaklarını tüketmek ve geleneksel oran sınırlamasını atlatmak için selleri kullandı.
Mayıs ayının ortalarında, Botnet 4.6 milyon düğüme büyüdükçe tehdit arttı ve saldırıya uğramış IoT cihazlarından yararlandı ve saldırı yüzeyini yükseltmek için zayıf sabitlenmiş uç noktalar.
Eylül ayına kadar, bu genişleyen ağ, bir hükümet kuruluşuna koordineli bir saldırı için 5,76 milyon IP adresini harekete geçirdi ve saniyede on milyonlarca talep yarattı.
Qrator Labs analistleri, Brezilya, Vietnam ve Amerika Birleşik Devletleri’nin kötü niyetli trafik kaynakları olarak ortaya çıkan coğrafi dağılımda önemli değişimler olduğunu kaydetti.
Saldırı iki dalgada ortaya çıktı: yaklaşık 2,8 milyon cihazla ilgilenen bir başlangıç artışı, bir saat sonra 3 milyon daha fazla düğüm daha izledi.
İkinci dalgadaki HTTP başlıkları, basit trafik filtrelemesinden kaçınmak için tasarlanmış randomize kullanıcı ajanı dizeleri ortaya çıkardı.
Qrator Labs araştırmacıları, BOTNET’in kontrol mekanizmasında hızlı ölçeklemesini kolaylaştıran önemli uyarlamalar belirlediler.
Kötü amaçlı yazılım, şifreli kanallar üzerinde merkezi olmayan bir komut ve kontrol (C2) altyapısı ile iletişim kurar;
İmza tabanlı hafifletme, her C2 uç noktası rotasyondan sadece saatler önce aktif olduğu için ayak uydurmak için mücadele etti.
Enfeksiyon mekanizması ve kalıcılık
Çekirdek enfeksiyon vektörü, ortak IoT ürün yazılımındaki varsayılan kimlik bilgilerinin ve eşleştirilmemiş güvenlik açıklarının kaba kuvvet kullanımı dayanmaktadır.
Bir cihazın içine girdikten sonra, kötü amaçlı yazılım, ağ arayüzlerine bağlanan ve ürün yazılımı güncelleme rutinlerini engelleyen hafif bir rootkit dağıtır.
Qrator Labs tarafından çıkarılan bir kod snippet’i kalıcılık stratejisini göstermektedir:-
// Intercept firmware update calls
int hook_update(char *path) {
if (!strcmp(path, "/usr/bin/fw_update")) {
launch_payload();
return 0;
}
return orig_update(path);
}Bu yaklaşım, her sistemin yeniden başlatıldıktan sonra kötü niyetli modüllerin yeniden yüklenmesini sağlar ve basit yeniden başlatma tabanlı iyileştirmeyi etkisiz hale getirir.
Gizli rootkit, şüpheli işlem listelerini de bastırır ve tespit ve çıkarmayı daha da karmaşıklaştırır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.