Mirai Botnet Varyantı ‘IZ1H9’ Linux Cihazlarını Hedefliyor Bulundu

   Mayıs 26, 2023  Posted in ThecyberExpress


Çeşitli güvenlik açıklarında gelişen yeni bir Mirai botnet çeşidi, Linux tabanlı cihazları hedefliyor.

Araştırmacılar tarafından analiz edilen üç güvenlik açığı CVE-2023-27076, CVE-2023-26801 ve CVE-2023-26802 idi.

Mirai botnet siber saldırısında kullanılan varyant IZ1H9, Tenda, LB-Link ve Digital China Networks’teki açıklardan yararlandı. Palo Alto Networks’ün bir raporda belirttiğine göre, Unit 42 araştırmacıları, birkaç IoT cihazının Mirai varyantı IZ1H9 tarafından hedef alındığını belirtti.

Mirai botnet siber saldırısı alarmını yükselten olay

1 Nisan 2023’te Birim 42 araştırmacıları, tehdit avlama sistemi tarafından anormal trafik konusunda uyarıldı. Bilgisayar korsanlarının IP 163.123.143’ten bir kabuk komut dosyası indiricisi lb.sh’yi indirmeye ve çalıştırmaya çalıştıklarını buldular.[.]126.

Bu Mirai botnet siber saldırısı, günlükleri silme ve izlerini gizleme yeteneğine sahipti. Çeşitli Linux mimarilerine saldırılar başlatmak için diğer bot istemcilerini indirmek ve yürütmek üzere programlandı.

Mirai botnet varyantı IZ1H9’un indireceği bot istemcilerinden bazıları aşağıdaki gibidir:

  1. hxxp://163.123.143[.]126/bins/dark.x86
  2. hxxp://163.123.143[.]126/bins/dark.mips
  3. hxxp://163.123.143[.]126/bins/dark.mpsl
  4. hxxp://163.123.143[.]126/bins/dark.arm4
  5. hxxp://163.123.143[.]126/kutu/dark.arm5

Başarılı Mirai botnet siber saldırılarının sonuçları

Mirai Bot Ağı
Mirai botnet saldırısına genel bakış (Fotoğraf: Unit 42)

Araştırmacılar, Mirai botnet siber saldırısındaki son adımın SSH, telnet ve HTTP gibi bağlantı noktalarından ağ bağlantısını engellemek olduğunu kaydetti. Sistem, cihazları tekrar uzaktan bağlayamaz veya siber suçtan kurtulamaz.

Mirai botnet’in bir çeşidi olan IZ1H9

Unit 42 raporunda, “Unit 42 araştırmacılarının indirilen örneklerin analizi sırasında gözlemlediği davranış ve kalıplara dayanarak, bunların Mirai botnet’in IZ1H9 adlı bir çeşidi olduğuna inanıyoruz.”

Mirai botnet siber saldırısı
IZ1H9 tarafından tek uygulama (Fotoğraf: Ünite 42)

Ayrıca IZ1H9’un Ağustos 2018’de keşfedildiğini ve en aktif Mirai varyantlarından biri olduğunu eklediler.

Botnet istemcisi IZ1H9, saldırı başlatmak için önce virüslü IP adreslerini arar ve devlet ağları, internet sağlayıcıları ve büyük teknoloji şirketleri gibi engellenen IP’leri hedeflemekten kaçınır.

Mirai botnet siber saldırısının diğer bulguları

İndirilen botnet istemcileri, 195.133.40 olarak bulunan komut ve kontrol sunucusuna bağlanacaktı.[.]141. Kabuk betiklerini barındıran bulunan URL’ler şunlardı:

  • hxxp://31.210.20[.]100/kahkaha[.]sh
  • hxxp://212.192.241[.]72/kahkaha[.]sh

“212.192.241’den kabuk betiği indiricisi[.]72, botnet istemcilerini hxxp://212.192.241 adresinden indirirdi.[.]87/bins/ ve bu botnet istemci örnekleri dotheneedfull C2 etki alanıyla iletişim kurardı[.]kulüp, ”Unit 42 raporunda okudu.

Satıcı ürünlerindeki güvenlik açıkları hakkında ayrıntılar

  1. CVE-2023-27076 – Tenda G103 v.1.0.0.5’teki bu güvenlik açığı 10 Nisan 2023’te yayınlandı. Temel puanı 9,8 olan kritik bir açıktı.
  2. CVE-2023-26801 – LB-Link BL-AC1900_2.0 v1.0.1, LB-LINK BL-WR9000 v2.4.9, LB-LINK BL-X26 v1.2.5 ve LB-LINK BL-LTE300 v1’deki bu güvenlik açığı. 0.8, yaklaşık 26 Mart 2023’te yayınlandı. Ayrıca kritik bir önem derecesi olan 9.8’lik bir taban puanına sahipti.
  3. CVE-2023-26802 – DCN (Digital China Networks) DCBI-Netlog-LAB V1.0’daki bu güvenlik açığı 26 Mart 2023’te yayınlandı. Ayrıca 9,8 önem derecesine sahipti.

Komut enjeksiyon güvenlik açığı CVE-2023-27076 hakkında konuşan Unit 42 raporunda, “Komut enjeksiyon güvenlik açığı, Tenda G103’ün cgi-bin/luci arayüzündeki dil parametresinin değerinin temizlenmemesinden kaynaklanmaktadır.”

Ayrıca bir komut enjeksiyon hatası olan CVE-2023-26801, bilgisayar korsanlarının LB-Link kablosuz yönlendirici bileşenini – /goform/set_LimitClinet_cfg. Siber suçlular, bileşen time1, time2 ve mac parametrelerindeki kullanıcı girişini temizlemeyeceği için keyfi komutlar yürütebilir.

CVE-2023-26802 güvenlik açığı, kullanıcı girişlerini temizlemede başarısız olur ve uzaktan kod yürütülmesine yol açar.

Mirai botnet siber saldırısının etkisi

Erişim sağladıktan ve yazılımdaki güvenlik açıklarından yararlandıktan sonra, Mirai botnet varyantı IZ1H9, cihazın tam kontrolünü ele geçirebilir ve bilgisayar korsanları tarafından programlanan herhangi bir görevi gerçekleştirebilir.

Kasım 2021’den bu yana siber saldırılar için Mirai botnet’in IZ1H9 varyantını kullanan kampanyalar gözlemlendi.

Mirai botnet siber saldırılarının arkasındaki siber suçlular

Unit 42 araştırmacıları, siber saldırılar için Mirai botnet’in IZ1H9 varyantını kullanan tüm kampanyaların aynı olduğuna inanmak için nedenler buldu. T

Bunun nedeni, kampanyalar için kötü amaçlı yazılım kabuğu komut dosyası indiricilerinin benzer olması ve Mirai botnet örneklerinin aynı XOR şifre çözme anahtarını (0xBAADF00D) kullanmasıydı.

Ayrıca, Mirai botnet siber saldırı kampanyalarının tümü, botnet örneklerinden doğrulanan aynı işlevleri kullandı. Botnet istemci örneklerinin altyapısı da benzerdi.

“SSH ve telnet kanalları için, IZ1H9, orijinal Mirai kaynak kodundan en önemli özelliği devralır: tarayıcı ve kaba kuvvet amaçları için yerleşik varsayılan oturum açma kimlik bilgilerine sahip bir veri bölümü,” Ünite 42, varyantı ve Mirai’yi birbirine bağlayan nedenleri belirtmek için ekledi.

Mirai ve IZ1H9’un oturum açma kimlik bilgilerini 1 baytlık bir XOR anahtarıyla şifrelediği ve IZ1H9’un Mirai botnet’in bir varyantı olduğu iddialarını daha da sağlamlaştırdığı bulundu.





Source link