Mirai Attacking Gaming Tarafından Desteklenen Hizmet Olarak DDoS Botnet’i


Hizmet Olarak DDoS botnet’leri, bilgisayar korsanları tarafından yıkıcı dağıtılmış hizmet reddi (DDoS) saldırılarının en kolay ve en ucuz şekilde başlatılmasını kolaylaştırmak için kullanılır.

Bu botnet’lerin, yüksek trafik hacimli hedeflere akın ederek hizmet kesintilerine veya kesintilere neden olmak için kiralanabilecek veya kiralanabilecek hacklenmiş cihazlardan oluştuğu düşünülüyor.

Hizmet Olarak DDoS, işletmeleri gasp etmenin, başkalarına zarar vermenin ve anonim kalmanın yollarını arayan bilgisayar korsanları için çok daha kolaydır.

Sysdig Tehdit Araştırma Ekibi’ndeki (TRT) siber güvenlik araştırmacıları, yakın zamanda Hizmet Olarak DDoS botnet’inin oyun topluluğuna saldıran Mirai tarafından desteklendiğini keşfetti.

Hizmet Olarak DDoS Botnet’i

Sysdig Tehdit Araştırma Ekibi, Mart 2024’te “rebirthltd.com” alanının, Mirai kötü amaçlı yazılımını temel alan, finansal amaçlı ve büyüyen bir Hizmet Olarak DDoS botnet’ine dahil olduğunu keşfetti.

All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo 

Telegram veya çevrimiçi bir mağaza aracılığıyla reklamı yapılan bu hizmet, çoğunlukla oyun topluluğuna odaklanıyor ancak aynı zamanda kurumsal varlıklar için de riskler barındırıyor.

Tehdit aktörleri olan Mirai’den türetilen botnet operatörleri, potansiyel alıcıları hedef alan devasa dağıtılmış hizmet reddi saldırılarına girişmek için hacklenmiş cihazlar kullanarak iş faaliyetlerini durdurabilecek değişen siber suç hizmetleri dünyasına bir göz atıyor.

Mirai kötü amaçlı yazılımı, Hizmet Olarak DDoS sağlayan botnet’i için RebirthLtd’yi kullanıyor ve bir çevrimiçi mağaza ve Telegram kanalı aracılığıyla erişilebilen bir abonelik hizmeti olarak pazarlanıyor.

Bu, esas olarak video oyunu yayıncılarına sahip olan oyunculara veya tüm oyun sürecini bozan “troller” olarak bilinen kişilere odaklanmaktadır.

Aralarında Çinli bir yönetici olduğu iddia edilen CazzG’nin de bulunduğu, bazılarının bu çetenin parçası olduğu iddia edilen farklı bilgisayar korsanlığı grupları altında faaliyet gösteren bu grup, anonimlik ve basit erişim kullanarak botların ve DDoS araçlarının yasa dışı satışını teşvik eden, yeni ortaya çıkan yasa dışı bir ekosistemi temsil ediyor.

RebirthLtd DDoS botnet’in nereden geldiği, önceki kötü amaçlı yazılım ailelerine ve kampanyalarına kadar takip edilebilir. Araştırmalar bunu shop4youv2.de’ye (Mirai, FBI’ın PowerOFF Operasyonundan sorumluydu) ve Tsuki’ye gösteriyor. ordu (ikinci bir bot ağının reklamını yapmak).

Docx69 TikTok'ta 'prixnuke' adı altında (Kaynak - Sysdig)
Docx69 TikTok’ta ‘prixnuke’ adı altında (Kaynak – Sysdig)

2020’deki ön analiz, “Rebirth” veya “Vulcan”ın Gafgyt, QBot ve STDBot üzerinde bilinen istismarlara sahip, farklı bir şekilde oluşturulmuş IoT odaklı bir botnet olduğunu gösterdi.

İlk kampanyaların muhtemelen botnet geliştiricilerini kapsadığı gerçeği, Ağustos 2022’den bu yana, insanların RebirthLtd’in kötü amaçlı özelliklerinden yararlanan daha geniş bir müşteri yelpazesine hizmet olarak DDoS sunma şeklindeki ticarileştirilmiş modele ilgi duymuş olabilir.

Bu değişiklik, tehdit aktörlerinin kötü amaçlı yazılım türlerini sürekli olarak yeniden paketleyip sattığının kanıtıdır.

RebirthLtd DDoS botnet’i üzerinde yapılan bir araştırma, bunun Rebirth/Vulcan gibi önceki kötü amaçlı yazılım türlerinden evrimleştiğini ortaya çıkardı. İkincisi, kod benzerlikleri ve yosh alan adları gibi ortak altyapı bağlantılarını içeriyordu.[.]Ltd ve Blkyosh[.]com.

2019-2020’deki ilk kampanyalar büyük ölçüde geliştiricileri kapsamış olsa da, son zamanlarda birçok ülke büyük saldırılara maruz kaldı.

Bu yükler, bazen güvenlik açıkları veya hizmetlerin adlarıyla mimariye özgü ELF dosyalarını indirmeye ve yürütmeye çalışan kötü amaçlı bash komut dosyalarından oluşur.

Mirai’nin kaynak kodunun piyasaya sürülmesi, botnet endüstrisini ve Rebirth gibi tehditleri alevlendirerek, özenli güvenlik açığı yönetimi ve çalışma zamanı tehdit tespitine olan ihtiyacı güçlendirdi.

Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.



Source link