Mirai botnet’in bir varyasyonu, yeni bir botnet indirirken ve yayarken görüldü. “Medusa Botnet” olarak adlandırılan bu sistem, etkinleştirildikten sonra komut ve kontrol sunucusuna bağlanır ve çalıştırdığı “medusa_stealer.sh” dosyasını alır.
ARC işlemcileri tarafından desteklenen akıllı cihazları hedef alan ve onları uzaktan kontrol edilebilen bir bot veya “zombi” ağına dönüştüren kötü amaçlı yazılım Mirai. Botnet olarak adlandırılan bu ağ, sıklıkla DDoS (Dağıtılmış Hizmet Reddi) saldırılarını gerçekleştirmek için kullanılır.
Cyble Global Sensor Intelligence (CGSI) ile işbirliği içinde Cyble Research and Intelligence Labs’deki (CRIL) araştırmacılar, Mirai botnet’in yeni bir çeşidini belirlediler.
Linux çalıştıran sistemlerdeki güvenlik açıklarından beslenen Mirai, Medusa botnet’ini indirirken bulundu. Bot ağları, Dağıtılmış Hizmet Reddi (DDoS) ve fidye yazılımı saldırıları dahil olmak üzere çeşitli siber saldırı türleri başlatabilir.
Araştırmacılar, Medusa botnet’in programlanmasında bazı yetersizlikler bulsa da, ağın 3., 4. ve 7. katmanları da dahil olmak üzere belirli düzeylerinde başarılı bir şekilde DDoS saldırıları başlattı. Medusa botnet ve Mirai botnet, çeşitli girişimleri kullanan kaba kuvvet saldırıları başlatıyor diğer kimlik bilgilerinin yanı sıra hedefin parolasını tahmin edin.
medusa_stealer.sh dosyasında bulunan ayrıntılar (Fotoğraf: Cyble)
Mirai botnet, komut ve kontrol (C&C) sunucusuna bağlandığında medusa_stealer.sh dosyasını indirir.
Araştırmacılar, botnet’in kaynak kodunu görerek teyit edilen Python betiğinde yazılan Medusa botnet’in özelliklerini buldular. Aşağıdakiler, Medusa botnet’in bulunan dört parametresidir:
- C&C sunucusundan saldırıyla ilgili komutları almak için ‘yöntem’.
- Kurbanın IP adresine erişmek için ‘IP’
- Port numarasını toplamak için ‘Port’
- Saldırıyı durdurmak için ‘zaman aşımı’
Medusa botnet, sahte IP adreslerini veya kurbanların IP adreslerini kullanarak ağlara saldırdı. Bu, spoofer() işlevi kullanılarak yapıldı. Algılanmamak için yeni IP adresleri oluşturmaya devam ederdi.
Medusa botnet’in Spoofer() işlevi (Fotoğraf: Cyble)
Medusa botnet tarafından başlatılan fidye yazılımı saldırıları
Benzer şekilde Medusa botnet, bir fidye yazılımı saldırısı başlatmak için MedusaRansomware() işlevini kullandı. Dosya adlarına .medusastealer uzantısını ekleyerek ‘uzantı’ listesinde belirtilen tüm dosyaları şifreler.
Yalnızca sistem dosyalarını ve zaten şifrelenmiş olanları koruyan bir AES 256 bit şifreleme anahtarı kullanarak dosyaları bir Python kitaplığıyla şifreler. Aşağıdakiler de dahil olmak üzere çeşitli uzantılara sahip dosyaları hedefler:
- .js
- .rb
- .Gitmek
- .html
- .docm
- .dotm
- .xsl
- .svg
- .wsf
- .wsh
Medusa’nın fidye yazılımı işlevinin snippet’i (Fotoğraf: Cyble)
Sistem sürücüsündeki tüm dosyaları siler ve fidye bırakır. Dosyaların şifrelenmesinin ardından Medusa botnet 24 saat uyumaya programlanır. CRIL araştırmacıları, fidye notunun uygulanmasında hatalı olduğunu buldu.
Medusa botnet tarafından başlatılan kaba kuvvet saldırıları
Medusa botnet, ScanWorld işlevini kullanarak internete bağlı cihazlara kaba kuvvet saldırıları başlatır. Daha sonra, birkaç başka kötü amaçlı yük enjekte eder.
username_scanner ve password_scanner aracılığıyla ortak kullanıcı adlarını ve parolaları içeren tanımlar. Bir Telnet cihazına başarılı bir şekilde eriştikten sonra, enfeksiyon_medusa_stealer kullanarak kötü amaçlı bir yük gönderir.
Arka kapı erişimi ve SSH giriş denemeleri, FivemBackdoor ve sshlogin kodu kullanılarak yapılır. Python dosyasında ilgili kodların olmaması, araştırmacıların Medusa botnet’in tam olarak kurulmadığını veya uygulanmadığını bilmesini sağlar.
Botnet, başarılı bir saldırının ardından send_data() işlevini kullanarak sistem bilgilerini toplar ve bu daha sonra siber saldırganın hxxps://medusa-stealer adresindeki uzak sunucusuna gönderilir.[.]cc/ekle/bot. Kullanıcı adı, IP adresi, işletim sistemi, ana bilgisayar adı, CPU ve RAM kullanımı gibi ayrıntılar gönderme işlevi kullanılarak gönderilir.
Mirai botnet hakkında ayrıntılar
Mirai, 2016’dan beri aktiftir ve yönlendiriciler, IP kameralar ve IoT cihazları aracılığıyla Linux tabanlı cihazları hedefler. İlk erişim elde etmek için bu cihazlardaki güvenlik açıklarından yararlanır ve siber suçlu tarafından çeşitli konumlardan veri sızdırmak için programlandığı şekilde diğer kötü amaçlı yazılımları indirebilir.
CRIL tarafından Ocak 2023’te Mirai botnet kullanılarak gözlemlenen siber saldırılar (Fotoğraf: Cyble)
Mirai Linux botnet üzerinde Linux makinelerini hedeflemek için çalışıldığından, araştırmacılar, kullanıcıları bilinmeyen IP adreslerinden ve URL’lerden gelen e-postaları ve bağlantıları indirme veya bunlara erişme konusunda dikkatli olmaya çağırıyor.