Aktif bir kötü amaçlı yazılım kampanyası, yönlendiricileri ve video kaydedicileri Mirai tabanlı dağıtılmış hizmet reddi (DDoS) botnet’ine bağlamak için uzaktan kod yürütme (RCE) işlevine sahip iki sıfır gün güvenlik açığından yararlanıyor.
Akamai bu hafta yayınlanan bir danışma belgesinde, “Yük, varsayılan yönetici kimlik bilgilerine sahip yönlendiricileri ve ağ video kaydedici (NVR) cihazlarını hedef alıyor ve başarılı olduğunda Mirai değişkenlerini yüklüyor” dedi.
İki satıcının yama yayınlamasına izin vermek ve diğer tehdit aktörlerinin bunları kötüye kullanmasını önlemek için kusurların ayrıntıları şu anda gizli tutuluyor. Güvenlik açıklarından birine yönelik düzeltmelerin gelecek ay gönderilmesi bekleniyor.
Saldırılar ilk olarak web altyapısı ve güvenlik şirketi tarafından balküplerine karşı Ekim 2023’ün sonlarında fark edildi. Saldırıların failleri henüz belirlenemedi.
Komuta ve kontrol (C2) sunucularında ve sabit kodlanmış dizelerde ırkçı ve saldırgan dil kullanılması nedeniyle kod adı InfectedSlurs olan botnet, Ocak 2018’de ortaya çıkan bir JenX Mirai kötü amaçlı yazılım çeşididir.
Akamai, NSFOCUS’un yakın zamanda yaptığı bir analize göre, hailBot Mirai varyantıyla bağlantılı olduğu anlaşılan ek kötü amaçlı yazılım örnekleri de tespit ettiğini söyledi. HailBot Mirai varyantı Eylül 2023’te ortaya çıktı.
Pekin merkezli siber güvenlik firması, “HailBot, Mirai kaynak koduna dayalı olarak geliştirildi ve adı, çalıştırıldıktan sonra çıkan ‘Çin anakarasına dolu’ dize bilgisinden türetildi.” diyerek, güvenlik açığından yararlanma ve zayıf parolalar yoluyla yayılma yeteneğini ayrıntılarıyla anlattı.
Bu gelişme, Akamai’nin WSO’nun “gelişmiş yinelemesi” (“web kabuğu by oRb”nin kısaltması) olan ve VirusTotal ve SecurityTrails gibi meşru araçlarla entegre olurken oturum açma arayüzünü bir 404 hatasının arkasına gizlice gizleyen wso-ng adlı bir web kabuğunu ayrıntılı olarak açıklamasıyla birlikte geliyor. sayfaya erişmeye çalıştığınızda.
Web kabuğunun dikkate değer keşif yeteneklerinden biri, sonraki yatay hareket için AWS meta verilerinin alınmasının yanı sıra, hassas uygulama verilerine yetkisiz erişim elde etmek amacıyla potansiyel Redis veritabanı bağlantılarının aranmasını içerir.
“Web kabukları, saldırganların verileri çalmak veya sunucuyu kimlik bilgileri hırsızlığı, yanal hareket, ek yüklerin dağıtımı veya klavye üzerinde uygulamalı etkinlik gibi diğer faaliyetler için bir fırlatma rampası olarak kullanmak üzere sunucularda komutlar çalıştırmasına olanak tanırken, saldırganların saldırganların saldırıda ısrar etmesine de olanak tanır. etkilenen bir kuruluş,” dedi Microsoft 2021’de.
Kullanıma hazır web kabuklarının kullanımı aynı zamanda tehdit aktörlerinin ilişkilendirme çabalarına meydan okuma ve istihbarat toplama konusunda uzmanlaşmış siber casusluk gruplarının önemli bir özelliği olan radarın altından geçme girişimi olarak da görülüyor.
Saldırganlar tarafından benimsenen bir diğer yaygın taktik, güvenliği ihlal edilmiş ancak meşru alan adlarının C2 amaçları ve kötü amaçlı yazılım dağıtımı için kullanılmasıdır.
Ağustos 2023’te Infoblox, ziyaretçileri koşullu olarak aracı C2 ve sözlük alanı oluşturma algoritması (DDGA) alanlarına yönlendiren, güvenliği ihlal edilmiş WordPress web sitelerini içeren yaygın bir saldırıyı açığa çıkardı. Faaliyet VexTrio adlı bir tehdit aktörüne atfedildi.