Araştırmacılar, Mirai botnet varyantını içeren aktif bir kötü amaçlı yazılım kampanyası belirlediler. MurdocEn az Temmuz 2024’ten beri AVTECH kameraları ve Huawei HG532 yönlendiricilerini hedef alıyor.
İki Temel Güvenlik Açığından Yararlanan Toplu Kampanya
Kampanya bilinen iki güvenlik açığından yararlanıyor:
- CVE-2024-7029: Kullanım ömrü sona eren AVTECH IP kameralarını etkileyen ve aynı zamanda geçen yıl Corona Mirai varyantı tarafından da kullanılan, yama yapılamayan bir komut yerleştirme güvenlik açığı, güvenliği ihlal edilmiş cihazlarda uzaktan kod yürütülmesine (RCE) ve kötü amaçlı yazılım dağıtımına olanak tanıyor.
- CVE-2017-17215: Huawei HG532 yönlendiricilerinde, önceki kampanyalarda sıklıkla hedef alınan keyfi bir komut yürütme hatası.
Bu güvenlik açıkları, saldırganların savunmasız cihazları Mirai tabanlı bir botnet altyapısına dahil etmelerine olanak tanır.
Güncel Gözlemler ve Enfeksiyon Verileri
Araştırmacılar, Censys’in taramalarını kullanarak, 22 Ocak 2025 itibarıyla ağırlıklı olarak Endonezya, Amerika Birleşik Devletleri ve Tayvan’da bulunan 221 Murdoc ile enfekte konakçıyı tespit etti.
Bazı kaynaklar 1.300’den fazla bulaşma bildirse de bu sayı muhtemelen yanlış yapılandırılmış cihazlar veya açık bağlantı noktalarında anormal davranan sahte hizmetler gibi yanlış pozitifleri de içeriyor.
Virüs bulaşan ana bilgisayarlardan 93’ünün Mirai komuta ve kontrol (C2) sunucuları olarak çalıştığı ve kötü amaçlı yazılımı daha da yaymak için diğer savunmasız cihazları aktif olarak hedef aldığı görülüyor.
Araştırmacılar tespit için Censys arama sorgularını sağladı:
- Murdoc bulaşmış konakçılar:
services.http.response.body:"murdoc_botnet" - Mirai C2’ler:
services.http.response.body:"murdoc_botnet" and services.http.response.body:"$(echo -ne"
GreyNoise sensörleri ayrıca her iki güvenlik açığına yönelik agresif istismar faaliyetlerini de belgeledi.
Spesifik olarak, CVE-2024-7029’u (AVTECH kameralarını hedef alan) kullanan 17 farklı kötü amaçlı IP’yi ve CVE-2017-17215’i (Huawei HG532 yönlendiricilerini hedefleyen) kullanmaya çalışan şaşırtıcı 37.796 IP’yi gözlemlediler.
GreyNoise verilerine göre, Huawei kusuruna yönelik kötü amaçlı faaliyetler 16 Ocak 2025’te zirveye ulaştı.
Kullanım ömrü sona ermiş ve üretimden kaldırılmış olmasına rağmen, 36.182’den fazla AVTECH kamerası internette açıkta duruyor ve birçoğu potansiyel olarak CVE-2024-7029’a karşı savunmasız durumda.
Bu cihazlar artık güvenlik güncellemelerini almayacak ve herkesin erişimine açık olmamalıdır.
Kuruluşların ve bireylerin bu tehdidi azaltmak için derhal harekete geçmeleri istenmektedir.
Önerilen adımlar arasında bu tür cihazların harici ağlardan yalıtılması veya bunların aktif olarak desteklenen ve güncellenen donanımlarla değiştirilmesi yer alır.
Bu cihazların güvenliğinin sağlanamaması, ağların giderek karmaşıklaşan bu botnet kampanyalarında istismara karşı oldukça duyarlı olmasına neden oluyor.