Filistin yanlısı, Müslüman yanlısı Malezyalı hacktivist grup RipperSec, Haziran 2023’te Telegram’da kurulmasından bu yana hızla büyüdü.
2.000’den fazla üyeden oluşan bir topluluktan yararlanarak veri ihlalleri, tahrifat ve DDoS saldırıları da dahil olmak üzere siber saldırılar gerçekleştiriyorlar ve birincil araçları, tespit edilmekten kaçınmak için 10 rastgeleleştirme tekniği kullanan, herkesin erişebildiği, kolayca konuşlandırılabilen bir DDoS aracı olan MegaMedusa’dır.
MegaMedusa’nın gelişmiş CAPTCHA çözme yeteneklerinden yoksun olması, basitliği ve RipperSec’in geniş ve motive olmuş topluluğuyla bir araya geldiğinde önemli bir siber tehdit oluşturuyor.
Siber tehdit aktörü RipperSec, Ocak-Ağustos 2024 arasında öncelikli olarak İsrail, Hindistan, ABD, İngiltere ve Tayland’ı hedef alan 196 DDoS saldırısının sorumluluğunu üstlendi.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Öncelikli hedefler hükümet ve eğitim siteleri olurken, bunları iş dünyası, toplum ve finans sektörü takip etti.
Grup, saldırıları gerçekleştirmek için kamuya açık Node.js tabanlı bir DDoS aracı olan MegaMedusa’yı kullanıyor.
MegaMedusa’nın gizlenmiş JavaScript kodu, gizlendiği zaman çok sayıda eş zamanlı ağ bağlantısını verimli bir şekilde idare edebilen bir komut satırı aracını ortaya çıkarıyor ve bu da onu DDoS cephaneliğinde güçlü bir silah haline getiriyor.
Saldırı trafiğini gizlemek için başlık manipülasyonu, URL değişikliği ve IP sahteciliği gibi kapsamlı rastgeleleştirme tekniklerinden yararlanarak hızlı dağıtım ve yürütme için Node.js çalışma ortamını kullanan, kolayca erişilebilir bir komut satırı DDoS aracıdır.
MegaMedusa, kullanıcı aracılarını, istek yollarını, yöntemleri, çerezleri ve IP adreslerini rastgele düzenleyerek WAF’lar ve diğer güvenlik önlemleri tarafından tespit edilmekten etkili bir şekilde kaçınırken, aynı zamanda saldırı trafiğini açık proxy’ler aracılığıyla dağıtıyor.
Yazarın kodlama becerisine rağmen, MegaMedusa açık proxy’leri destekliyor ancak ticari ve özel proxy’ler için kimlik doğrulaması bulunmuyor.
Temel proxy tarama ve ilkel CAPTCHA kaçınma teknikleri sağlamasına rağmen, araç, modern güvenlik önlemlerine karşı etkisiz olan, meydan okuma kaçınma için rastgele HTTP başlıklarına dayanan gelişmiş CAPTCHA atlama konusunda yetersiz kalmaktadır.
CAPTCHA çözme yeteneğinden yoksundur ve kaynak sunucu IP adreslerini bulamamaktadır; bu da gelişmiş korumaları aşma yeteneğini sınırlamaktadır.
Bu sürüm, istek karartma ve kaçınma için proxy’lerden yararlanırken, dahili ekran görüntülerinden de anlaşılacağı üzere RipperSec üyelerinin muhtemelen daha gelişmiş özel araçlara sahip olduğu görülüyor.
MegaMedusa, üçüncü taraf kütüphanelerini bir kenara bırakarak proxy desteğini yerel olarak uygular
Bağlantılar üzerinde kontrol, grup içinde daha yüksek düzeyde teknik yeterlilik olduğunu gösterir ve kamuya açık aracın onların yeteneklerinin basitleştirilmiş bir versiyonunu temsil edebileceğini düşündürür.
Performansı artırmak için tasarlanan boru hattı ve çoklama gibi HTTP protokolü geliştirmeleri, istemeden de olsa saldırganlara güç vererek verimli ve yüksek hacimli isteklere olanak tanırken, HTTPS/2 Hızlı Sıfırlama ve HTTP/2 Devamlılık gibi güvenlik açıkları bunların etkisini artırıyor.
Genellikle tehlikeye atılmış konut altyapısını kullanan açık ve ticari proxy’ler, saldırıları daha da belirsizleştiriyor ve tespit edilmekten kaçınıyor; bu da toplu olarak DDoS saldırılarının giderek daha karmaşık ve etkili hale gelmesine katkıda bulunuyor.
Radware’e göre gelişmiş DDoS saldırganları, dağıtılmış saldırılar için botnet’leri, ölçeklenebilirlik ve kaçınma için bulut tabanlı kaynakları birleştiren hibrit bir altyapı kullanıyor.
Genellikle tehlikeye atılmış IoT cihazlarını kullanan botnetler, güven ilişkilerini istismar ederek DNS su işkencesi ve PRSD gibi saldırıları kolaylaştırır.
Kurşun geçirmez barındırmayı da içeren bulut tabanlı altyapı, anonimlik ve operasyonel verimlilik sağlar.
Saldırganlar, daha iyi yönetim ve dayanıklılık için IoT botnetlerinden bulut tabanlı platformlara geçiş yaparken, IP sahteciliği, proxy’ler ve Tor kullanarak saldırı kaynaklarını gizliyor.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces