Siber güvenlik araştırmacıları, cihazları yeni bir botnet’e devretmek için TBK Digital Video Kayıt Cihazlarında (DVRS) ve dört inançlı yönlendiricilerdeki güvenlik kusurlarını hedefleyen bir kötü amaçlı yazılım kampanyasına dikkat çekiyorlar. Rondodoks.
Söz konusu güvenlik açıkları, TBK DVR-4104 ve DVR-4216 DVR’leri ve CVE-2024-12856’yı etkileyen bir Orta-Ağırlık Komut Enjeksiyon Güvenlik Açığı, bir işletim sistemi (OS) komut enjeksiyonu böceği F3X24 ve F3X36’yı etkileyen bir çalışma sistemi f3xx24 ve f3x36 içerir.
Bu cihazların birçoğu perakende mağazaları, depolar ve küçük ofisler gibi kritik ortamlara kurulur ve burada genellikle yıllarca sürdürülmezler. Bu onları ideal hedefler yapar – sömürülmesi kolay, tespit edilmesi zor ve genellikle modası geçmiş ürün yazılımı veya yanlış yapılandırılmış bağlantı noktaları aracılığıyla doğrudan internete maruz kalır.
Son aylarda farklı Mirai Botnet varyantlarını dağıtmak için tehdit aktörleri tarafından üç güvenlik kusurunun da tekrar tekrar silahlandırıldığını belirtmek gerekir.
“İkisi birden [the security flaws] Fortinet Fortiguard Labs araştırmacısı Vincent Li, kamuya açıklanmış ve aktif olarak hedefleniyor, cihaz güvenliği ve genel ağ bütünlüğü için ciddi riskler oluşturuyor. “Dedi.
Siber güvenlik şirketi, ilk olarak Eylül 2024’te Rondodox için bir ELF ikili tespit ettiğini ve kötü amaçlı yazılımların oyun platformlarından veya radarın altında uçan VPN sunucularından trafiği taklit edebileceğini söyledi.
Rondodoksu özellikle tehlikeli yapan şey sadece cihazın ele geçirilmesi değil, saldırganların bu erişimi nasıl yeniden kullandığı. Enfekte edilmiş cihazları tipik botnet düğümleri olarak kullanmak yerine, komut ve kontrol trafiğini gizlemek, katmanlı dolandırıcılık yapmak veya finansal sahtekarlığı altyapı bozulmasıyla harmanlayan işe alım için DDOS kampanyalarını yükseltmek için gizli vekiller olarak silahlandırırlar.
Rondodoks eserlerinin analizi, başlangıçta Intel 80386, MC68000, MIPS R3000, PowerPC, Superh, Arcompact, x86-64 ve aarch64 gibi diğer Linux mimarilerini hedefleyebilen bir kabuk betiği indiricisi aracılığıyla dağıtılmadan önce, başlangıçta Linux tabanlı işletim sistemlerine dağıtıldığını gösterir.
Kabuk komut dosyası, başlatıldıktan sonra kurban sunucusuna, UNIX benzeri işletim sistemlerindeki süreçleri sonlandırmak için kullanılan Sigint, Sigquit ve Sigterm sinyallerini görmezden gelmesini ve kurban kullanıcısının ana dizinleri, / /log, /run /kullanıcı /0 gibi çeşitli yollarda yazılabilir yolları kontrol etmesini söyler. /data/local/tmp.
Son adımda, Rondodoks kötü amaçlı yazılımlar indirilir ve ana bilgisayar üzerine yürütülür ve kötü niyetli etkinliğin izlerini temizlemek için komut yürütme geçmişini temizler. Botnet yükü, bir sistem yeniden başlatılmasının ardından otomatik olarak başlatıldığından emin olmak için makinede kalıcılık oluşturmaya devam eder.
Ayrıca, çalışma süreçlerinin listesini taramak ve operasyonel gizli korumak için ağ yardımcı programları (örn., WGY ve Curl), sistem analiz araçları (örn. Wireshark ve GDB) veya diğer kötü amaçlı yazılımlar (örn., Cryptominers veya Redtail varyantları) ile ilgili herhangi bir işlemi sonlandırmak için tasarlanmıştır.
Bu yaklaşım, tehdit aktörlerinin çok mimari damlalar, DOH tabanlı C2 çözünürlüğü ve XOR ile şifreli yükleri kullandıkları botnet tasarımında artan bir eğilimi yansıtmaktadır. Daha geniş bir kaçan Linux kötü amaçlı yazılım kategorisinin bir parçası olarak, Rondodox, Rustobot ve Mozi gibi tehditlerin yanında oturuyor ve zayıf IoT hijyeni ve zayıf yönlendirici sertleşmesinden yararlanmak için inşa edilmiş yeni bir uyarlanabilir botnet dalgası oluşturuyor.
Ayrıca Rondodox,/usr/sbin,/usr/bin,/usr/local/bin ve/usr/local/sbin gibi birkaç ortak Linux yürütülebilir dizinini tarar ve kurtarma çabalarını engellemek amacıyla rastgele karakterlerle meşru yürütülebilir ürünleri yeniden adlandırır. Değiştirilmiş dosya adları aşağıda listelenmiştir –
- Iptables – JSUJPF
- UFW – logsc
- Passwd – Ahwdze
- CHPASSWD – EREGHX
- Kapatma – HHRQWK
- Poweroff – DCWKKB
- DURT – CJTZGW
- Yeniden başlat – Gaajct
Kurulum işlemi tamamlandıktan sonra, kötü amaçlı yazılım harici bir sunucula temasa geçer (83.150.218[.]93) HTTP, UDP ve TCP protokollerini kullanarak belirli hedeflere karşı dağıtılmış hizmet reddi (DDOS) saldırıları gerçekleştirme komutları almak.
Fortinet, “Tespitten kaçınmak için, valf, Minecraft, Dark ve Dark, Roblox, Dayz, Fortnite, GTA gibi popüler oyunları ve platformları taklit ederek kötü niyetli trafiği gizliyor.
“Oyun ve sohbet protokollerinin ötesinde, Rondodox, tünelden özel trafiği ve WireGuard, OpenVPN varyantları (örn., OpenVPNAuth, OpenVPNCrypt, OpenVPNTCP), Stun, DTLS ve RTC gibi gerçek zamanlı iletişim hizmetlerinden de taklit edebilir.”
Meşru araçlarla ilişkili trafiği taklit etmede, fikir normal aktiviteyle karışmak ve savunucuların onu tespit etmesini ve engellemesini zorlaştırmaktır.
Li, “Rondodox, anti-analiz önlemleri, xor kodlu konfigürasyon verileri, özel yapım kütüphaneleri ve sağlam bir kalıcılık mekanizması da dahil olmak üzere gelişmiş kaçınma tekniklerini kullanan sofistike ve ortaya çıkan bir kötü amaçlı yazılım tehdididir.” Dedi. Diyerek şöyle devam etti: “Bu yetenekler tespit edilmemesine ve tehlikeye atılan sistemlere uzun vadeli erişimi sürdürmesine izin veriyor.”