Gelişmiş bir botnet kampanyası, siber suç operasyonlarını kolaylaştırmak için 140 komuta ve kontrol sunucusu kurarken 40 ülkede 25.000’den fazla IoT cihazının güvenliğini tehlikeye attı.
İlk olarak Şubat 2025’te açıklanan PolarEdge botnet’i, gelişmiş kalıcı tehdit aktörleri için hizmet olarak altyapı sağlayan bir Operasyonel Aktarma Kutusu ağı oluşturmak amacıyla savunmasız Nesnelerin İnterneti ve uç cihazlarından yararlanıyor.
Kötü amaçlı yazılım, güvenliği ihlal edilmiş cihazlara yüklenen RPX_Client bileşenleri ve birden fazla bulut platformunda proxy hizmetlerini yöneten RPX_Server düğümleri ile bir istemci-sunucu mimarisi aracılığıyla çalışır.
Botnet’in bulaşma kampanyası, güvenlik izleme sistemlerinin PolarEdge ile ilgili olarak işaretlenen bir ELF dosyasını dağıtan 111.119.223.196 IP adresinden şüpheli etkinlik tespit ettiği Mayıs 2025’te hız kazanmaya başladı.
Korelasyon analizi yoluyla araştırmacılar, güvenliği ihlal edilmiş cihazları belirlenen C2 düğümü proxy havuzlarına yerleştirirken uzaktan komut yürütmeye olanak tanıyan RPX_Client bileşenini ortaya çıkardı.
Qianxin araştırmacıları, XLab’ın Siber Tehdit İçgörü ve Analiz Sistemi tarafından tespit edildikten sonra hedefli bir araştırma yürüterek kötü amaçlı yazılımı tespit etti.
RPX_Server ve RPX_Client bileşenlerinin birbirini takip eden keşifleri, botnet’in aktarma işlemlerinin ve altyapı ölçeğinin daha derinlemesine anlaşılmasını sağladı.
.webp)
Coğrafi dağılım analizi, Güneydoğu Asya ve Kuzey Amerika’daki enfeksiyon yoğunluğunu ortaya koyuyor; ele geçirilen cihazların yüzde 41,97’sini Güney Kore oluşturuyor, onu yüzde 20,35 ile Çin ve yüzde 8,37 ile Tayland takip ediyor.
Birincil hedefler arasında KT CCTV sistemleri, Shenzhen TVT DVR’ler, Cyberoam UTM cihazları ve Asus, DrayTek, Cisco ve D-Link gibi üreticilerin çeşitli yönlendirici modelleri yer alıyor.
Botnet altyapısı, ağırlıklı olarak Alibaba Cloud ve Tencent Cloud platformlarında barındırılan, 45102, 37963 ve 132203 otonom sistem numaralarında yoğunlaşan VPS düğümlerinde çalışır.
Teknik Mimari ve Enfeksiyon Mekanizması
RPX sistemi, kaynak gizleme ve ilişkilendirme karmaşıklığı için tasarlanmış çok atlamalı bir proxy mimarisini uygular. Saldırganlar ağı kullandığında, bağlantılar nihai hedeflere ulaşmadan önce yerel proxy’den RPX_Server üzerinden güvenliği ihlal edilmiş cihazlarda RPX_Client’a geçer.
Bu katmanlı yaklaşım, operasyonel esneklik sağlarken saldırı kökenlerini etkili bir şekilde gizler. Kötü amaçlı yazılım, şu komutu kullanarak başlatma komut dosyalarına enjeksiyon yoluyla kalıcılığa ulaşır: –
echo "/bin/sh /mnt/mtd/rpx.sh &" >> /etc/init.d/rcSYürütme sonrasında RPX_Client, işlem adını connect_server olarak gizler ve yinelenen başlatmaları önlemek için /tmp/.msc PID dosyasını kullanarak tek örnekli yürütmeyi zorlar.
Kötü amaçlı yazılım, C2 sunucu adresi, iletişim portu, cihaz UUID’si ve marka bilgileri gibi parametreleri elde etmek için genel yapılandırma dosyası .fccq’yi okumaya çalışır.
Yapılandırma verileri, depolanmadan önce 0x25 ile tek baytlık XOR şifrelemesine tabi tutulur. Ağ işlemleri iki bağımsız bağlantı kullanır: düğüm kaydı ve trafik proxy’si için 55555 numaralı bağlantı noktası ve go-admin hizmeti aracılığıyla uzaktan komut yürütme için 55560 numaralı bağlantı noktası.
Komut yapısı, bot işlevlerini tanımlayan 0x11, 0x12 ve 0x16 sihirli alan değerleri aracılığıyla esnek kontrol sağlar. Özel yerleşik komutlar arasında C2 sunucu adreslerini güncellemek için change_pub_ip ve örnek kendi kendine yükseltme yetenekleri için update_vps bulunur.
Sunucu günlükleri, altyapı geçiş komutlarının yürütüldüğünü doğrulayarak operatörlerin, düğümler açığa çıktığında proxy havuzlarının yerini hızla değiştirebilme yeteneğini gösterir.
Trafik analizi, öncelikle QQ, WeChat, Google ve Cloudflare hizmetleri dahil olmak üzere ana akım platformlara yönelik, hedeflenmeyen operasyonları ortaya koyuyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
