Yönetişim ve Risk Yönetimi, Yama Yönetimi
Modüler Mirai kötü amaçlı yazılım kodu tekrar grev yapıyor
Prajeet Nair (@prajeaetspeaks), David Perera (@Daveperera) •
9 Haziran 2025
İki ayrı Mirai botnet, enfekte bilgisayarları bir araya getirmek için Hacker’ların Nesnelerin İnterneti cihazlarına tipik bir şekilde odaklanmasının olağandışı bir varyasyonu olan açık kaynak Siem Solution Wazuh’u barındıran açılmamış sunucuların avında bulunmuyor.
Ayrıca bakınız: Active Directory MasterClass | Bir saldırgan gibi düşün, profesyonel gibi savun
Kampanyalar, hem tehdit tespiti hem de yanıt olarak hizmet veren açık kaynaklı bir platform olan Wazuh’ta bir kırılganlık olan CVE-2025-24016’nın Wild Insouring’i işaret ediyor. Kusurun CVSS puanı 9.9’dur ve wazuh’ta tasarlanmamış JSON girişi yoluyla uzaktan kod yürütülmesini sağlar DistributedAPIsaldırganların kötü niyetli python kodu enjekte etmesine izin verir. Wazuh geçen Ekim ayında kusuru düzenledi.
Wazuh sunucuları tipik olarak internete maruz kalmamalı ve API erişimi olan herkes kusurdan yararlanabilir.
Pazartesi günü Akamai’den araştırmacılar, Mart ayında, diğeri Mayıs ayı başlarına kadar ilk kampanyayla çıktılar. Akamai, “Bu, BotNet operatörlerinin yeni yayınlanan CVES için benimsedikleri sürekli shrinking zaman çizelgesi zaman çizelgelerinin en son örneğidir.” Dedi.
Mirai, on yıl boyunca, açıkta kalan cihazları dağıtılmış hizmet saldırıları ve kriptolama reddetme için botnetlere dönüştürmek için meşhur Botnet kötü amaçlı yazılımdır. Üç orijinal yazarı 2017’de suçlu bulunmadan önce çevrimiçi kaynak kodu sızdıran anonim bir kodlayıcı sayesinde çok sayıda versiyon var.
Tipik hedefleri Linux tabanlı IoT cihazlarıdır – yönlendiriciler, kameralar, yazıcılar ve benzerleri. Ancak “Mirai Botnets, geleneksel X86 Linux sunucuları gibi diğer cihaz türlerini de hedef aldı” dedi. Botnets “genellikle hedefledikleri çeşitli güvenlik açıklarına sahiptir, bu yüzden istismar kabuk komut dosyaları ana Mirai kötü amaçlı yazılım yükü için çok çeşitli mimarileri destekler” dedi.
Şubat ayında CVE-2025-24016’nın halka açıklanmasından kısa bir süre sonra tespit edilen ilk kampanya, doğrudan çevrimiçi olarak sunulan bir kavram kanıtıdan kopyalanan istismarları kullandı. Adlı bir kabuk komut dosyası verir w.shbir dizi mimaride faaliyet gösterebilen Mirai ikili dosyalarını indirir. Akamai, kötü amaçlı yazılım örnekleri “bir süredir var olan” LZRD olarak belirli Mirai varyantına işaret ediyor. LZRD, yürütüldükten sonra bir hedef makinenin konsoluna “lzrd” yazdırdığı için çok adlandırılmıştır. Kampanyada gözlemlenen bir örnek Akamai tipik mesajın bir varyantını yazdırıyor: eğer zaten enfekte olmuş bir hedefle karşılaşırsa, “Bu boku zaten aldık” diye yazdırıyor.
Mayıs ayı başlarında tespit edilen diğer Mirai kampanyası, enfekte olmuş konsollara yazdırdığı için “REPENTUAL” ve “Resgod” olarak bilinen bir kötü amaçlı yazılım varyantı ile ilişkilidir. Bu botnet, örneğin İtalyan dil alanlarını kullanıyor gibi görünüyor, örneğin gestisciweb.com Ve versioneonline.comİtalyanca konuşan kullanıcıların veya cihaz operatörlerinin olası hedeflenmesini önermek. Araştırmacılar, alanların güvenlik araçlarını kimlik avı veya yanlış yönlendirmeye yardımcı olabilecek meşru hizmetlere benzediğini söyledi.
Kampanyaların API erişimini sertleştirmek için bir hatırlatma olduğunu söyledi. “Ayrıca ona ulaşan girdileri dezenfekte etmeye çalışabilirsiniz, ancak POC istismarını yazan araştırmacı bunu tavsiye etmiyor ve yama tarafından sabitlenen kök nedenini düzeltmeyi öneriyor.”