Ünlülerin ayrı yan ürünleri Mirai botnet’i küresel çapta yeni bir dağıtılmış hizmet reddi (DDoS) saldırıları dalgasından sorumludur. Araştırmacılar, bunlardan birinin “geniş” botnet ağları kurmak için Nesnelerin İnterneti (IoT) cihazlarındaki belirli güvenlik açıklarından yararlandığını, diğerinin ise 2024’ün sonundan bu yana DDoS saldırılarıyla Kuzey Amerika, Avrupa ve Asya’daki kuruluşları hedef aldığını buldu.
İçerisinde operasyon sürüyor Miray Qualys araştırmacıları, “Murdoc_Botnet” (Temmuz ayında başlayan ve 1.300’den fazla aktif IP’ye sahip) olarak adlandırılan saldırının Avtech kameralarını ve Huawei HG532 yönlendiricilerini hedef aldığını ortaya çıkardı. bir rapor bugün yayınlandı.
Qualys’in baş güvenlik araştırmacısı Shilpesh Trivedi, gönderisinde, araştırmacıların Murdoc botnet’iyle ilişkili 100’den fazla farklı sunucu setini ortaya çıkardığını, “her birinin faaliyetlerini deşifre etmek ve devam eden bu kampanyada yer alan ele geçirilmiş IP’lerden biriyle iletişim kurmakla görevli” olduğunu yazdı.
Bu arada, Trend Micro’nun ayrı bir araştırmasına göre, hem Mirai hem de Bashlite’tan türetilen kötü amaçlı yazılım varyantlarını içeren bir botnet, dünya çapındaki DDoS saldırılarında IoT cihazlarındaki güvenlik kusurlarından ve zayıf kimlik bilgilerinden yararlanıyor. Araştırmacılar, “Kötü amaçlı yazılım, RCE’nin zayıf noktalarından veya zayıf parolalardan yararlanarak cihaza sızıyor ve ardından virüslü ana bilgisayarda bir indirme komut dosyası çalıştırıyor” dedi.
İki kampanya, kaynak kodundan bu yana sayısız değişken ortaya çıkaran bir botnet olan Mirai’nin devam eden etkisini gösteriyor 2016 yılında sızdırılmıştı ve siber saldırı sahnesinde ilk kez ortaya çıktıktan 10+ yıl sonra bile önemli bir güvenlik tehdidi olmaya devam ediyor.
Murdoc Botnet Belirli Kusurlardan Yararlanıyor
Murdoc botneti teslim ediliyor Mirai kötü amaçlı yazılımı dahil olmak üzere mevcut istismarları kullanır CVE-2024-7029 Ve CVE-2017-17215sonraki aşamadaki yükleri indirmek için. Bunlardan ilki, komutların ağ üzerinden enjekte edilmesine ve kimlik doğrulaması olmadan yürütülmesine izin veren bir Avtech kamera kusuru iken ikincisi, Huawei yönlendiricilerinde bulunan bir uzaktan kod yürütme (RCE) kusurudur.
Murdoc botnet kampanyasıyla ilişkili IP adreslerinin çoğu Malezya’da bulunuyor ve bunu Tayland, Meksika ve Endonezya takip ediyor.
Qualys araştırmacıları, Murdoc botnet’iyle ilişkili ELF dosyalarını ve kabuk komut dosyalarını içeren 500’den fazla örnek keşfetti. Trivedi, gönderisinde her kabuk betiğinin “IP kameralar, Ağ cihazları ve IoT cihazları gibi cihazlara yüklendiğini ve buna karşılık C2 sunucusunun Mirai botnet’in yeni versiyonunu, yani Murdoc_Botnet’i cihazlara yüklediğini” yazdı. .
Kapsamlı Bir DDoS Kampanyası ABD’yi Hedefliyor
Bu arada Trend Micro’daki araştırmacılar, ilk olarak 2024’ün sonundan itibaren büyük şirketler ve bankalar da dahil olmak üzere Japon kuruluşlarına yönelik “büyük ölçekli” DDoS botnet saldırılarını tespit etti, ancak daha sonra etkinliği daha büyük bir küresel kampanyaya kadar takip etti. Saldırılardan en çok ABD’deki kuruluşlar etkilendi, bunu Bahreyn, Polonya, İspanya ve diğer ülkelerdeki şirketler izledi.
Saldırılarda hedeflenen birincil cihazlar, TP-Link ve Zyxel yönlendiricileri ve Hikvision IP kameraları dahil olmak üzere tanınmış markaların kablosuz yönlendiricileri ve IP kameraları oldu. Murdoc botnet aktivitesinde olduğu gibi, siber saldırganlar burada da cihazlardaki kusurları hedef alarak kendilerini tehlikeye attılar, ancak aynı zamanda erişim sağlamak için zayıf şifreler de kullandılar.
Saldırı vektörü açısından araştırmacılar, etkinlikle ilgili iki farklı türde DDoS saldırısı bulduklarını söyledi. Bir tür çok sayıda paket göndererek ağa aşırı yük getirirken, diğeri çok sayıda oturum oluşturarak sunucu kaynaklarını tüketir.
Gönderiye göre “Ayrıca, iki veya daha fazla komutun birlikte kullanıldığını gözlemledik, bu da hem ağ aşırı yükleme saldırılarının hem de sunucu kaynağı tükenme saldırılarının aynı anda gerçekleşmesini mümkün kılıyor.”
DDoS Siber Saldırılarına Karşı Nasıl Savunma Yapılır?
İle Miray Araştırmacılar, yeni ve yaygın DDoS saldırıları gerçekleştirmek için yeni botnet’ler üretmeye devam eden değişkenler nedeniyle, kuruluşların ağlarını istenmeyen trafik selinden tanımlayabilmelerinin ve koruyabilmelerinin önemli olduğunu söyledi.
Qualys araştırmacıları, kuruluşların güvenilmeyen ikili/komut dosyalarının yürütülmesiyle ortaya çıkan şüpheli süreçleri, olayları ve ağ trafiğini düzenli olarak izlemesini ve ayrıca bilinmeyen ve güvenilmeyen kaynaklardan gelen kabuk komut dosyalarını çalıştırırken dikkatli olmalarını önerdi.
Bu arada Trend Micro analistleri, gözlemledikleri iki tür DDoS saldırısı için farklı hafifletme çabaları önerdi. Ağı paketlerle dolduran saldırılar için araştırmacılar, kuruluşların belirli IP adreslerini veya protokollerini engellemek ve trafiği kısıtlamak için bir güvenlik duvarı veya yönlendirici kullanmasını önerdi; Ağın omurgasında veya ucunda DDoS trafiğini filtrelemek için iletişim hizmeti sağlayıcılarıyla işbirliği yapın; ve işlenebilecek paket sayısını artırmak için yönlendirici donanımını güçlendirin.
Çok sayıda oturum oluşturarak kaynakları tüketen saldırılar için Trend Micro, kuruluşların belirli bir IP adresi tarafından belirli bir süre içinde gönderilebilecek istek sayısını sınırlamasını önerdi; saldırı trafiğini ayırmak ve temiz trafiği işlemek için üçüncü taraf hizmetleri kullanmak; diğer azaltım ve önleme önlemlerinin yanı sıra, gerçek zamanlı izleme gerçekleştirin ve çok sayıda bağlantıya sahip IP adreslerini engelleyin.