LED TV’ler dahil olmak üzere 190.000’den fazla Android cihaza enfekte olan Badbox Botnet

   Şubat 5, 2025  Posted in CyberSecurityNews


LED TV'ler dahil olmak üzere 190.000'den fazla Android cihaza enfekte olan Badbox Botnet

Badbox adlı yeni keşfedilen bir botnet, Yandex 4K QLED TV’ler gibi üst düzey modeller de dahil olmak üzere 190.000’den fazla Android cihazına enfekte olduğu bulunmuştur.

Bu botnet, özellikle önceden yüklenmiş kötü amaçlı yazılımlar fabrikadan veya tedarik zincirinden daha aşağı inen cihazlara enfekte etme yeteneği nedeniyle özellikle ilgilidir.

Badbox’ın ölçeği ve gizliliği, artan tedarik zinciri güvenliği ve ağ izleme için kritik ihtiyacı vurgulamaktadır.

Hizmet Olarak Siem

Badbox Botnet, altyapısı boyunca ortak bir SSL/TLS sertifikası ortaya çıkaran Censys İnternet istihbarat platformu kullanılarak tanımlandı.

Bu sertifika, “C = 65, ST = Singapur, L = Singapur, O = Singapre, OU = Sall, CN = SAEE” ile ilişkili IP’leri ve alanları izlemek için kullanıldı.

Kullanılan sertifika sorgusu:-

cert.parsed.issuer_dn="C=65, ST=singapore, L=singapore, O=singapre, OU=sall, CN=saee"

Censys’teki uzmanlar, bu sorgunun hepsi Singapur’da bulunan ve Akamai ASN ile ilişkili beş IP adresinin tanımlanmasına yol açtığını belirtti.

Bu IP’lerin, tek bir varlık tarafından şablonlu bir ortam kurulumunu gösteren 22 SSH bağlantı noktasına sahip olduğu bulunmuştur.

Sertifika ve SSH detayları

Söz konusu sertifika, küçük boyutu nedeniyle güvensiz kabul edilen 1024 bit RSA anahtarıyla kendi kendine imza atılmıştır.

Kendi Kendine İmzalı Sertifika (Kaynak-Censys)

Sertifikanın SHA-256 parmak izi “61609D67762922A390BF4C5CCC2B5ED43C1980A6777A0152E9A49C5B96D0D623.”

Tanımlanan beş IPS, aynı SSH ana bilgisayar anahtarını paylaşıyor ve bu örnekleri kontrol eden tek bir aktör kavramını daha da destekliyor.

Diğer Sertifika İçeriği (Kaynak – Censys)

SSH ana bilgisayar anahtar parmak izi “A885B892E4820B90FD05E45EDA6BDD5983170CBA6DA23FB3610ED1A61726BD14.”

Tanımlanan IP’ler şunları içerir:-

  • 139.162.36[.]224
  • 139.162.40[.]221
  • 143.42.75[.]145
  • 172.104.186[.]191
  • 192.46.227[.]25

Ek olarak, bu botnet ile çok sayıda alan adının aşağıdakiler dahil olduğu bulunmuştur:-

  • mavi balık[.]iş
  • Cool.hbmc[.]açık
  • sersem[.]CC
  • Joyfulxx[.]com
  • msoH[.]mağaza
  • mtcpuouo[.]com
  • Pasiont[.]com
  • SG100.IDCLOUDHOST[.]com
  • yydsmb[.]com
  • yydsmd[.]com
  • ztword[.]com

Altyapı boyunca ortak bir SSL/TLS sertifikası ve SSH ana bilgisayar anahtarının kullanılması, tek bir varlık tarafından iyi koordine edilmiş bir işlem olduğunu düşündürmektedir.

Kuruluşların ve bireylerin bu tür tehditlere karşı korunmak için uyanık kalmaları ve sağlam güvenlik önlemleri uygulaması çok önemlidir.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free



Source link