NICT CSRI analiz ekibi, Mayıs 2025’te Angers, Fransa’da barındırılan Botnets ve kötü amaçlı bir konferans olan Botconf 1’deki Rapperbot virüsü hakkındaki üç yıllık araştırmalarını sunduğunda, şaşırtıcı bir keşif yaptılar.
Bu Mirai varyantı, özellikle dijital video kaydedicileri (DVR’ler) hedefleyen sofistike bir tehdide dönüştü, uzak video kaydı ve kontrolü için gözetim kameralarına bağlı cihazlar.
IoT güvenliği için kalıcı bir tehdidi ortaya çıkarmak
Ekibin bulguları, sunumlarında “DVR ekosisteminin açıklanması: küresel IoT bot işe alım kampanyalarına 3 yıllık bir soruşturma”.
.png
)
DVR’lerin zayıf varsayılan şifreler, açık telnet veya eski cihazlarda HTTP bağlantı noktaları gibi doğal güvenlik açıklarının ve nadiren ürün yazılımı güncellemelerinin, Nesnelerin İnterneti (IoT) ekosistemlerini sızmayı ve kullanmayı amaçlayan siber saldırganlar için nasıl birincil hedefler haline getirdiğini vurgular.
RapperBot, DVR’leri tehlikeye atmak için çok yönlü bir yaklaşım kullanır ve% 40’ının DVR’ye özgü olduğu kimlik bilgisi listeleriyle, bilinen ortak güvenlik açıkları ve maruziyetleri (CVES) ve sıfır gün güvenlik açıklıklarını idari arayüzler aracılığıyla kullanır.
Sofistike Saldırı Stratejileri
RapperBot’un Stratejisinin, Ekim’den Aralık 2024’e kadar olan Nicter Darknet izleme verilerinde gözlemlendiği gibi, login sonrası cihaz türlerini tanımlamak için yeniden yapılanma tipi tarayıcıların kullanımı, özel bir yükleyicinin belirli güvenlik açıklıklarını kullanmadan önce bir rapor sunucusuna aktarılmasıdır.
Sonuçta bir indirme sunucusu aracılığıyla kötü amaçlı yazılım yükleyen bu karmaşık enfeksiyon zinciri, saldırganlar honeypot algılamasını önlemek için genellikle cihaz yanıtlarını doğruladığı için sıfır gün saldırılarını analiz etme ve azaltma çabalarını zorlaştırır.
Ayrıca, RapperBot’un etkisi, Cisco Bineyes kullanılabilirlik grafiklerine göre hizmet bozulmalarıyla ilişkili olan 10 Mart 2025 (UTC) ‘de Sosyal Medya Platformu X’e (UTC) dikkate değer bir saldırı ile küresel olarak dağıtılmış hizmet reddi (DDOS) saldırılarını düzenlediği için sızmanın ötesine uzanır.
Mart ve Nisan 2025 arasındaki son güncellemeler, genel DNS’de 32 rastgele FQDN kullanılarak şifreli C2 sunucu adı çözünürlüğünü getirdi ve HTTPS tabanlı DDOS özellikleri ekledi, JA4 gibi parmak izi tespitinden kaçınmak için TLS imza algoritmalarını randomize ederek kötü amaçlı trafiği normal web aktivitesiyle harmanladı.
Rapora göre, kötü amaçlı yazılımların genellikle 28’den fazla OEM markası altında satılan ITX Security ve Ctring gibi üreticilerden DVR’leri hedefleme yeteneği, pazar parçalanması ile birleştirilen kapsamlı güvenlik açığı yönetiminin zorluğunun altını çiziyor.
Yurtiçi bir perakendeci ile 2022 işbirliğinde NICT, ITX Güvenlik DVR’lerinde iki sıfır gün de dahil olmak üzere dört güvenlik açığını ortaya çıkardı ve yamalı ürün yazılımına ihtiyaç duyulan proaktif önlemlerin bir örneğine yol açtı.
RapperBot, tarayıcı uygulaması (Recon, Telnet, SSH ve tarama yok) tarafından kategorize edilen varyantlarla gelişmeye devam ettikçe, NICT CSRI ekibi, son kullanıcı farkındalığını artırmak ve bu tür kalıcılık botnet tehdidine karşı IOT güvenliğini desteklemek için distribütörler ve araştırma organları ile devam eden analiz ve işbirliği sözü veriyor.
Uzlaşma Göstergeleri (IOC)
| Rapperbot versiyonu | Tip | SHA256 |
|---|---|---|
| Şubat 2025 | Tarama yok | 7E536CC15EBAC6DBF8E597DC41A20FAC460C892CB5488849ED221A6B352F6A6 |
| Şubat 2025 | Telnet | AE3D740FC5A9FAC12D1EF7C9204A0E25574D095A803BAA98E093B8F57FB3BC |
| Şubat 2025 | SSH | Cc022c57fe74fb9cc58a57a4e1debe70fbc5f589b4f2f1987f36989b4b4cc85 |
| Şubat 2025 | Yeniden yaratmak | D822048a8b925046edc4e5e72c41d82c56093dd87b22f4968526d85986769 |
| Nisan 2025 | Tarama yok | 200E571BC0A6D256256302DFCC6AC5A8C2E40B73A053BE8555349A674A69 |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin