Siber güvenlik araştırmacıları, AVTECH IP kameraları ve Huawei HG532 yönlendiricilerindeki güvenlik kusurlarından yararlanarak cihazları Murdoc_Botnet adlı bir Mirai botnet çeşidine bağlayan yeni ve büyük ölçekli bir kampanya konusunda uyardı.
Qualys güvenlik araştırmacısı Shilpesh Trivedi bir analizde, devam eden faaliyetin “cihazları tehlikeye atmak ve geniş botnet ağları kurmak için güvenlik açıklarından yararlanarak gelişmiş yetenekler gösterdiğini” söyledi.
Kampanyanın en az Temmuz 2024’ten bu yana aktif olduğu ve bugüne kadar 1.370’den fazla sistemin etkilendiği biliniyor. Enfeksiyonların çoğunluğu Malezya, Meksika, Tayland, Endonezya ve Vietnam’da bulunuyor.
Kanıtlar, botnet’in, Nesnelerin İnterneti (IoT) cihazlarına ilk erişim sağlamak ve bir kabuk komut dosyası aracılığıyla bir sonraki aşama yükünü indirmek için CVE-2017-17215 ve CVE-2024-7029 gibi bilinen güvenlik kusurlarından yararlandığını gösteriyor.
Komut dosyası, botnet kötü amaçlı yazılımını getirir ve CPU mimarisine bağlı olarak çalıştırır. Bu saldırıların nihai amacı, dağıtılmış hizmet reddi (DDoS) saldırıları gerçekleştirmek için botnet’i silah haline getirmektir.
Bu gelişme, gayfemboy adlı bir Mirai botnet varyantının, Kasım 2024’ün başlarından bu yana Four-Faith endüstriyel yönlendiricileri etkileyen yakın zamanda açıklanan bir güvenlik kusurunu kullandığının tespit edilmesinden haftalar sonra geldi. 2024’ün ortalarında Akamai, CVE-2024-7029’un kötü niyetli aktörler tarafından kötüye kullanıldığını da ortaya çıkardı. AVTECH cihazlarını bir botnet’e kaydetmek için.
Geçen hafta, güvenlik açıklarından ve zayıf kimlik bilgilerinden yararlanılarak oluşturulan bir IoT botnet’inden yararlanılarak 2024’ün sonundan bu yana büyük Japon şirketlerini ve bankalarını hedef alan başka bir büyük ölçekli DDoS saldırısı kampanyasına ilişkin ayrıntılar ortaya çıktı. Diğer hedeflerden bazıları ABD, Bahreyn, Polonya, İspanya, İsrail ve Rusya etrafında yoğunlaşıyor.
DDoS faaliyetinin telekomünikasyon, teknoloji, barındırma, bulut bilişim, bankacılık, oyun ve finansal hizmetler sektörlerini öne çıkardığı görüldü. Ele geçirilen cihazların yüzde 55’inden fazlası Hindistan’da bulunuyor ve onu Güney Afrika, Brezilya, Bangladeş ve Kenya takip ediyor.
Trend Micro, “Botnet, Mirai ve BASHLITE’tan türetilen kötü amaçlı yazılım türlerini içeriyor” dedi. “Botnet’in komutları arasında çeşitli DDoS saldırı yöntemlerini birleştirebilen, kötü amaçlı yazılımları güncelleyebilen ve proxy hizmetlerini etkinleştirebilen komutlar yer alıyor.”
Saldırılar, gerçek yükü getiren ve daha sonra bir komuta ve kontrol (C2) sunucusuna bağlanan ve DDoS saldırıları ve diğer amaçlar için daha fazla talimat bekleyen bir yükleyici kötü amaçlı yazılım dağıtmak için IoT cihazlarına sızmayı içeriyor.
Bu tür saldırılara karşı korunmak için, güvenilmeyen ikili dosyaların/komut dosyalarının yürütülmesinden kaynaklanan şüpheli süreçlerin, olayların ve ağ trafiğinin izlenmesi önerilir. Ayrıca ürün yazılımı güncellemelerinin uygulanması ve varsayılan kullanıcı adı ile şifrenin değiştirilmesi de önerilir.