Eylül 2023’te FortiGuard Labs’ın dikkatli ekibi, IZ1H9 Mirai tabanlı DDoS kampanyasında önemli bir gelişmeyi ortaya çıkardı.
Agresif taktikleriyle bilinen bu kampanya, çeşitli kuruluşlardaki Linux tabanlı sistemleri potansiyel olarak tehlikeye atan on üç güvenlik açığından oluşan müthiş bir diziyle cephaneliğini güçlendirmişti.
IZ1H9 kampanyası, Linux tabanlı sistemleri kullanan tüm kuruluşlarda geniş bir kullanıcı yelpazesini tehdit ediyor.
Uzaktaki saldırganlar savunmasız sistemlerin tam kontrolünü ele geçirip onları saldırganın komutası altında etkili bir şekilde botlara dönüştürebildiğinden, bunun potansiyel etkisi kritik öneme sahiptir.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Sömürü Artışı
Ekibin gözlemi sırasında IZ1H9 kampanyasının 6 Eylül 2023’te sömürünün zirvesine ulaştığı ortaya çıktı.
Tetikleyici sayıların binlerce, hatta onbinlere ulaşması, kampanyanın duyarlı cihazlara sızma konusundaki endişe verici yeteneğini ortaya koydu.
Bu hızlı yayılma, çok sayıda Yaygın Güvenlik Açıklarını ve Etkilenmeleri (CVE) kapsayan, yeni yayımlanan yararlanma kodu kullanılarak sağlandı.
Yüklerden Yararlanma
Kampanyanın istismar yükleri dizisi çeşitlidir ve çeşitli güvenlik açıklarını hedef alır.
Özellikle dört veri, CVE-2015-1187, CVE-2016-20017, CVE-2020-25506 ve CVE-2021-45382, D-Link güvenlik açıklarına odaklanarak uzaktaki saldırganların hazırlanmış istekler aracılığıyla komutları yürütmesine olanak tanıyor.
Ayrıca CVE-2019-19356, Netis WF2419’u hedef alıyor ve yetersiz kullanıcı girişi temizleme nedeniyle tracert teşhis aracı aracılığıyla Uzaktan Kod Yürütme (RCE) güvenlik açığından yararlanıyor.
2021’de keşfedilen istismarlar da bu kampanyada çok önemli bir rol oynuyor ve Sunhillo SureLine, Geutebruck IP kameraları ve Yealink Cihaz Yönetimi gibi ürünleri etkiliyor.
Kampanyanın erişim alanını genişletmek için Zyxel cihazlarındaki, TP-Link Archer, Korenix JetWave ve TOTOLINK yönlendiricilerindeki diğer güvenlik açıklarından yararlanılıyor.
Kabuk Komut Dosyası İndiricisi
Enjekte edilen veri, belirli bir URL’den “l.sh” adlı bir kabuk betiğini indirmeyi amaçlamaktadır.
Bu komut dosyası yürütüldükten sonra günlükleri silerek ve ardından farklı Linux mimarileri için uyarlanmış çeşitli bot istemcilerini indirip çalıştırarak eylemlerini gizler.
Cihazın iptables kurallarını değiştirerek birden fazla bağlantı noktasındaki ağ bağlantılarını engelleyerek sona erer.
Kötü Amaçlı Yazılım Analizi – IZ1H9
Mirai varyantı olarak sınıflandırılan IZ1H9, Linux tabanlı ağ bağlantılı cihazlara, özellikle de IoT cihazlarına bulaşma konusunda uzmanlaşmıştır.
Onları büyük ölçekli ağ saldırılarına hazır, uzaktan kumandalı botlara dönüştürür. Yapılandırma kodunu çözmek için kullanılan XOR anahtarının 0xBAADF00D olduğu ortaya çıktı.
Kurbanlar bir C2 sunucusuyla iletişim başlatır ve komutları aldıktan sonra ele geçirilen cihazlar, bir saldırı başlatmadan önce DDoS saldırı yöntemini, hedef ana bilgisayarı ve paket sayısını belirlemek için paketi ayrıştırır.
Bu kampanya, savunmasız IoT cihazlarının ve Linux sunucularının uzaktan kod yürütme saldırılarına karşı oluşturduğu kalıcı riskin altını çiziyor.
Yamaların varlığına rağmen, istismar tetikleyicilerinin sayısı endişe verici derecede yüksek olmaya devam ediyor ve sistemleri potansiyel tehditlere açık hale getiriyor.
IZ1H9 Kampanyasının yeni güvenlik açıklarına hızla uyum sağlaması endişe kaynağıdır. Saldırganlar savunmasız bir cihazın kontrolünü ele geçirdikten sonra, onu botnet’lerine entegre edebilir ve DDoS ve kaba kuvvet saldırıları da dahil olmak üzere saldırı kapasitelerini artırabilirler.
Kuruluşların, bu tehdidi etkili bir şekilde azaltmak için derhal yamaları uygulamaları ve cihazların varsayılan oturum açma kimlik bilgilerini değiştirmeleri tavsiye edilmektedir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.