Bir Mirai botnet varyantının, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek amacıyla Kasım 2024’ün başlarından bu yana Four-Faith endüstriyel yönlendiricileri etkileyen yeni açıklanan bir güvenlik kusurundan yararlandığı bulundu.
Botnet, yaklaşık 15.000 günlük aktif IP adresini barındırıyor ve enfeksiyonlar öncelikle Çin, İran, Rusya, Türkiye ve Amerika Birleşik Devletleri’ne dağılmış durumda.
İlk erişim için bilinen 20’den fazla güvenlik açığından ve zayıf Telnet kimlik bilgilerinden oluşan bir cephanelikten yararlanan kötü amaçlı yazılımın Şubat 2024’ten bu yana aktif olduğu biliniyor. Botnet, kaynak kodunda bulunan saldırgan terime atıfta bulunarak “gayfemboy” olarak adlandırıldı.
QiAnXin XLab, kötü amaçlı yazılımın Çin merkezli Four-Faith tarafından üretilen endüstriyel yönlendiricilerdeki sıfır gün güvenlik açığından yararlanarak eserleri 9 Kasım 2024 gibi erken bir tarihte teslim ettiğini gözlemlediğini söyledi.
Söz konusu güvenlik açığı, değiştirilmemiş varsayılan kimlik bilgilerinden yararlanarak F3x24 ve F3x36 yönlendirici modellerini etkileyen bir işletim sistemi (OS) komut ekleme hatasını ifade eden CVE-2024-12856’dır (CVSS puanı: 7.2).
Geçtiğimiz ayın sonlarında VulnCheck, The Hacker News’e, güvenlik açığının, güvenliği ihlal edilmiş cihazlara ters kabukları ve Mirai benzeri bir yükü düşürmek için vahşi doğada istismar edildiğini söyledi.
Botnet’in erişimini ve ölçeğini genişletmek için kullandığı diğer güvenlik kusurlarından bazıları arasında CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017 yer alıyor. -5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 ve CVE-2024-8957.
Kötü amaçlı yazılım, başlatıldıktan sonra kötü amaçlı işlemleri gizlemeye çalışır ve savunmasız cihazları taramak, kendini güncellemek ve ilgilenilen hedeflere karşı DDoS saldırıları başlatmak için Mirai tabanlı bir komut formatı uygular.
Botnet’ten yararlanan DDoS saldırıları, her gün yüzlerce farklı varlığı hedef aldı ve etkinlik Ekim ve Kasım 2024’te yeni bir zirveye ulaştı. Saldırılar, 10 ila 30 saniye sürerken, 100 Gbps civarında trafik üretiyor.
Açıklama, Juniper Networks’ün, varsayılan parolalara sahip Oturum Akıllı Yönlendirici (SSR) ürünlerinin, Mirai botnet kötü amaçlı yazılımını düşürmek için kötü niyetli aktörler tarafından hedef alındığı konusunda uyarmasından haftalar sonra geldi. Akamai ayrıca DigiEver DVR’lerdeki uzaktan kod yürütme kusurunu silah haline getiren Mirai kötü amaçlı yazılım enfeksiyonlarını da ortaya çıkardı.
XLab araştırmacıları, “DDoS, siber saldırıların en yaygın ve yıkıcı biçimlerinden biri haline geldi” dedi. “Saldırı modları çeşitlidir, saldırı yolları son derece gizlidir ve çeşitli endüstrilere ve sistemlere karşı hassas saldırılar gerçekleştirmek için sürekli gelişen strateji ve teknikleri kullanabilir; işletmeler, devlet kurumları ve bireysel kullanıcılar için önemli bir tehdit oluşturabilir.”
Bu gelişme aynı zamanda tehdit aktörlerinin PacketCrypt adlı bir kripto para madencisini dağıtmak için hassas ve yanlış yapılandırılmış PHP sunucularından (örn. CVE-2024-4577) yararlanmalarıyla da ortaya çıkıyor.