Rapperbot BotNet, eşi görülmemiş bir ölçeğe ulaştı ve güvenlik araştırmacıları dünya çapında ağ kenar cihazlarını hedefleyen 50.000’den fazla aktif bot enfeksiyonunu gözlemliyor.
Bu sofistike kötü amaçlı yazılım kampanyası, şu anda internete bağlı altyapıyı rahatsız eden en kalıcı ve gelişen siber tehditlerden birini temsil ederek, ilk ortaya çıkışından bu yana dikkate değer bir uyum ve teknik gelişmişlik gösteriyor.
İlk olarak CNCERT tarafından Temmuz 2022’de açıklanan Rapperbot’un faaliyetleri önceki güvenlik araştırmalarına göre 2021’e kadar izlenebilir.
.png
)
Botnet, sadece geçen yıl araştırmacılar tarafından yakalanan yedi farklı yineleme ile çoklu varyantlar aracılığıyla tutarlı bir evrimi sürdürdü.
Rapperbot’u tipik botnetlerden ayıran şey, kışkırtıcı doğasıdır, kötü amaçlı yazılım yazarları, güvenlik araştırmacılarına yönelik şarkılar ve zorluklar da dahil olmak üzere rap müziğine alay eden mesajlar ve referanslar yerleştirir.
Qi’anxin X laboratuvar analistleri, rapperbot’un yakın zamanda, sürekli saldırıları önlemek için kurbanlardan Monero kripto para biriminde 5.000 dolar talep eden gasp taktiklerini içerecek şekilde geleneksel dağıtılmış hizmet reddi saldırılarının ötesine geçtiğini belirledi.
BOTNET, Şubat 2025’te Yapay İstihbarat Servisi Deepseek ve Sosyal Medya Platformu Twitter’ı Mart ayı ortasında da dahil olmak üzere yüksek profilli platformları hedefleyerek yeteneğini gösterdi.
Coğrafi analiz, Çin’in en yüksek saldırı konsantrasyonuyla karşı karşıya olduğunu ortaya koymaktadır, ancak BOTNET’in erişimi küresel olarak kamu yönetimi, üretim ve finansal hizmetler dahil olmak üzere çeşitli endüstri sektörlerinde uzanmaktadır.
Enfeksiyon ölçeği, araştırmacılar proaktif olarak kullanılmayan komut ve kontrol alan adlarını kaydettiklerinde belirginleşti ve 50.000 benzersiz IP adresini aşan zirve bot popülasyonlarını ortaya koydu.
Birincil hedefler, genel ağ kameraları, özellikle ağ kameraları, ev yönlendiricileri ve genellikle zayıf varsayılan kimlik bilgilerine veya eşleştirilmemiş ürün yazılımı güvenlik açıklarına sahip kurumsal ağ ekipmanları olan IoT cihazlarını içerir.
Enfeksiyon mekanizmaları ve güvenlik açığı sömürüsü
Rapperbot, ilk cihaz uzlaşması için, öncelikle bilinen güvenlik açıklarının kullanımı ile birlikte zayıf telnet kimlik bilgilerinden yararlanarak çok vantiyeli bir yaklaşım kullanır.
BOTNET, kötü güvenli IoT altyapısına karşı oldukça etkili olduğunu kanıtlayan bir teknik olan varsayılan veya kolayca tahmin edilebilir kimlik doğrulama kimlik bilgileri için otomatik tarama yoluyla cihazları sistematik olarak hedefler.
.webp)
Kötü amaçlı yazılımların güvenlik açığı sömürüsü Arsenal, çeşitli cihaz türlerini ve üreticilerini kapsar. Kritik güvenlik açıkları arasında Ruijie NBR700 cihazlarını etkileyen CNVD-2021-79445, CVE-2021-46229 D-Link Di-7200G yönlendiricilerini ve CVE-2023-4473’ü hedefleyen Zyxel NAS326 sistemlerini kullanıyor.
Ek saldırı vektörleri, TCP_MSGHEAD_CMD güvenlik açıkları aracılığıyla KGuard DVR sistemlerini hedefler, Baichuan uzaktan kod yürütme kusurları ve birden fazla satıcıdan çeşitli CCTV-DVR sistemleri aracılığıyla cihazları yeniden bağlar.
def decodeTXT(data:str):
key = "ipWPeY43MhfFBt8ZCSN2KTdD6nEkmGjwx7vJR5rogzbcqHsXUQuyVA9L"
a = key. Find(data[0])
b = key. Find(data[1])
seed = 56*a+bBotNet’in komut ve kontrol altyapısı, C2 iletişimi için yenilikçi bir DNS-TXT kayıt sistemi kullanır ve birden fazla kampanya yinelemesinde gelişen özel şifreleme algoritmaları kullanır.
Herhangi biriyle erken tehdit tespiti, yükseltme ve hafifletme güçlendirin. 50 deneme araması alın.