Araştırmacılar, Gayfemboy botnet’ini 2024’ün başlarında temel bir Mirai çeşidi olarak gözlemlediler. Yine de botnet, UPX polimorfik paketleme, N günlük güvenlik açıklarını entegre etme ve sonuçta Four-Faith endüstriyel yönlendiricilerdeki 0 günlük güvenlik açığından yararlanma dahil olmak üzere yinelemeli geliştirme yoluyla hızla gelişti.
Kasım 2024 itibarıyla Gayfemboy, komuta ve kontrol için 40’tan fazla gruplandırma kategorisini kullanarak 15.000’den fazla cihaza virüs bulaştırdı. Araştırmacıların C2 alan adlarını kaydettirdiğini tespit eden Gayfemboy, DDoS saldırılarıyla agresif bir şekilde misilleme yaptı.
Analiz, botnet’in genel bir tehditten, gelişmiş yetenekler ve proaktif bir savunma mekanizmasıyla donatılmış, botnet ortamında önemli bir oyuncuya doğru hızlı evrimini gösteriyor.
Gayfemboy botnet’i, CVE-2024-12856 (Dört Faith yönlendirici 0 günlük) gibi kritik uzaktan kod yürütme kusurları ve Neterbit ve Vimar cihazlarını etkileyen açıklanmayan güvenlik açıkları dahil olmak üzere çeşitli güvenlik açıklarından yararlanır.
İyi bilinen CVE’lerin (örneğin, CVE-2013-3307, CVE-2014-8361 ve CVE-2020-25499) kullanılmasıyla birleştiğinde ve zayıf Telnet kimlik bilgilerinden yararlanılarak, botnet’in günde yaklaşık 15.000 veriyle önemli bir varlığını sürdürmesine olanak sağlanır. aktif botlar.
Enfeksiyonlar oldukça yaygındır ve Çin, ABD, İran, Rusya ve Türkiye’de kayda değer konsantrasyonlar gözlenmektedir. Botnet muhtemelen ele geçirilen cihazları DDoS saldırıları, veri sızdırma ve kripto para madenciliği gibi çeşitli kötü amaçlı faaliyetler için kullanıyor.
Saldırganların botnet’i verimli bir şekilde yönetmesine ve kontrol etmesine olanak tanıyan, cihaz işletim sistemi veya enfeksiyon yöntemi gibi gruplama bilgilerini ileterek bir Komuta ve Kontrol (C2) sunucusuyla iletişim kurar.
Etkilenen başlıca cihazlar arasında ASUS yönlendiriciler (NDAY açıklarından etkilenen), Kguard DVR’ler (NDAY), Dört Faith endüstriyel yönlendiriciler (0DAY açıklarından yararlanan CVE-2024-12856) ve çeşitli yönlendiriciler ve akıllı ev cihazları (bulaşma yöntemi bilinmiyor) yer alıyor.
Gayfemboy botnet’i, Şubat 2024’ten bu yana aktif olan, Mirai tabanlı bir botnet olup her gün yüzlerce farklı varlığı hedef alıyor ve saldırıları dünya geneline yayılıyor.
Sihirli numarası 1wom olan değiştirilmiş bir UPX kabuğu kullanır ve ayrıca başlangıçta kök dizinden başlayarak yazılabilir dizinler bulmaya çalışarak kötü amaçlı süreci gizler.
Botnet yalnızca Mirai komut formatını korumakla kalmıyor, aynı zamanda kayıt paketini de değiştiriyor ve yeni komut işlevleri ekliyor.
DDoS saldırıları, hedef ağları aşırı trafikle bunaltmak ve mevcut kaynakları tüketmek için dağıtılmış botnet’lerden, kötü amaçlı araçlardan veya güçlendirme tekniklerinden yararlanarak hizmetin kesintiye uğramasına ve reddedilmesine neden olur.
XLab’a göre saldırganlar hacimsel, protokol ve uygulama katmanı saldırıları da dahil olmak üzere çeşitli saldırı vektörlerinden yararlanıyor ve genellikle yansıma/yükseltme ve düşük ve yavaş saldırılar gibi karmaşık teknikler kullanıyor.
Kuruluşlar, DDoS saldırılarının etkisini azaltmak ve iş sürekliliğini sağlamak için trafik temizleme, hız sınırlama ve izinsiz giriş tespit sistemleri gibi karşı önlemleri uygulamalıdır.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free