Darktrace’teki siber güvenlik araştırmacıları, Shadowv2 adlı yeni bir botnet’i tanımladılar ve kiralık bir hizmet olarak yapılandırıldı ve saldırganlara talep üzerine büyük ölçekli saldırılar başlatmanın kolay bir yolu sunuyor.
Bu, herkesin dağıtılmış bir hizmet reddi (DDOS) saldırısı başlatmak için ağına erişim kiralayabileceği anlamına gelir, bu da saldırganların internet genelinde rekor kıran olaylarda görülenlere benzer büyük trafik dalgalanmaları üretmesini kolaylaştırır.
Shadowv2 tipik ev bilgisayarlarının peşinden gitmez; Amazon Web Services (AWS) bulut sunucularına yanlış yapılandırılmış Docker kaplarını enfekte eder. Docker, geliştiricilerin uygulamaları kapsayıcılar adı verilen yalıtılmış ortamlarda paketlemesine ve çalıştırmasına izin veren bir teknolojidir. Bu kaplar yazılım oluşturmanın ve çalıştırmanın modern bir yoludur, ancak doğru şekilde kurulmazlarsa, siber suçlular tarafından sömürülebilirler.
Saldırı
Saldırı, bir kurbanın makinesinde geçici bir ‘kurulum’ kabı oluşturan GitHub Kod Emzirlerinde barındırılan bir Python betiği ile başlar. BOTNET daha sonra Çekirdek kötü amaçlı yazılımını GO tabanlı bir uzaktan erişim Trojan (sıçan) bu kuruluma yükler. BotNet daha sonra bu kapsayıcıyı yeni, enfekte olmuş bir kap oluşturmak için kullanır.
Darktrace’e göre, bu, yasadışı faaliyetlerin şu anda profesyonel iş girişimleri gibi muamele edildiği ‘hizmet olarak siber suç’ (CAAS) ‘nın önemli bir örneğidir. Saldırganlar, kullanıcı giriş ekranı ve kullanıcı dostu bir kontrol paneli ile eksiksiz bir platform oluşturdu. Araştırmacılar blog yazısında, sistemin “hem tasarım hem de kullanılabilirlikte meşru bulut yerli uygulamalarını” yansıtacak kadar iyi tasarlanmış.
Ek olarak, BotNet komutlarını almak için “dinlendirici kayıt ve yoklama mekanizması” kullanarak düzenli olarak merkezi bir sunucu ile kontrol eder. Saldırı modu (UAM) bypass altında bir Cloudflare ve “HTTP/2 hızlı sıfırlama” gibi gelişmiş taktikleri kullanır, bu da aynı anda büyük miktarda trafik göndermesine izin verir.
Sahte kolluk kuvveti bildirimi
Darktrace ilk olarak 24 Haziran’daki saldırıyı fark etti ve 25 Haziran ve 30 Temmuz’da bir kamu tehdidi veritabanına gönderilen kötü amaçlı yazılımların eski sürümlerini buldu. Botnet’in ana web sitesi, sistemin kendisi tamamen işlevsel kalmasına rağmen sahte bir kolluk nöbet bildirimini bir hile olarak gösteriyor.
Kapsamlı Sertifika Yaşam Döngüsü Yönetimi (CLM) sağlayıcısı Scottsdale, Scottsdale’in kıdemli üyesi Jason Soroko, botnet’i “uzmanlaşmanın attığı olgunlaşan bir ceza piyasasının” kanıtı olarak görüyor.
Operatörlerin, yalnızca DDOS saldırılarına odaklanarak ve “operasyonel riski azaltan, araçları basitleştiren ve ücretli müşterilerle hizalanan” erişimi satarak işlerini basitleştirdiğini belirtiyor.
Soroko, profesyonel bir API ve tam kullanıcı arayüzünün kullanımının botnet’i “algılamayı kontrol düzlemi davranışlarına doğru kaydıran bir platform” haline getirdiğini ekliyor. Savunuculara bu botnet’i “yol haritası olan bir ürün” olarak ele almalarını ve yükseltmeleri ve yeni taktikleri izlemelerini tavsiye ediyor.