İnternette yeni bir DDoS botnet ortaya çıktı: Zergeca botnet. Golang’da yazılmış bu karmaşık tehdit, dağıtılmış hizmet reddi (DDoS) saldırılarını düzenleme yetenekleri nedeniyle dikkat çekti.
Komuta ve kontrol (C2) altyapısında bulunan “ootheca” teriminden (özellikle “ootheca”) esinlenerek adlandırılmıştır.[.]pw” ve “ootheca”[.]”üst”), Zergeca tipik bir DDoS botnetinden daha fazlasını temsil ediyor. QiAnXin XLab’ın yakın tarihli bir raporuna göre, Zergeca botnet’i proxy, tarama, kendi kendini yükseltme, dosya transferi, ters kabuk ve hatta hassas cihaz bilgilerinin toplanması dahil olmak üzere DDoS saldırılarının ötesinde çok çeşitli işlevlere sahip.
Zergeca Botnet’in Yükselişi ve Özelliklerinin Kodunu Çözmek
Zergeca botnet’inin kökeni, XLab’ın CTIA sisteminin ilk olarak Rusya’dan kaynaklanan “geomi” adlı şüpheli bir ELF dosyasını tespit ettiği 20 Mayıs 2024’e dayanır. VirusTotal’daki antivirüs motorları tarafından ilk başta gözden kaçırılan bu dosya, daha sonra yeni tanımlanan botnet’in bir parçası olarak bulundu. Almanya da dahil olmak üzere farklı ülkelerden benzer dosyaların daha sonra yüklenmesi, botnet’in hızlı yayılımını ve evrimini vurguladı.
Zergeca’nın ayırt edici özelliklerinden biri, platformlar arası yetenekleri ve karmaşık ağ işlemlerini ele almadaki verimliliğiyle bilinen Golang programlama dilini kullanmasıdır. Bu seçim, C2 çözünürlüğü için HTTPS üzerinden DNS (DoH) ve şifreli iletişim için Smux kütüphanesi gibi gelişmiş kaçınma tekniklerinin dahil edilmesiyle birleştiğinde, tasarımının karmaşıklığını vurgular.
Zergeca Botnet IP’yi Mirai Botnet’leriyle Paylaşıyor
QiAnXin XLab’ın araştırması, Zergeca’nın C2 altyapısının daha önce Mirai botnet’leriyle ilişkilendirilen IP adreslerini paylaştığını ortaya koydu ve bu da botnet operasyonlarında gelişen bir uzmanlık soyunu gösteriyor. Dahası, botnet’in gelişimi devam ediyor ve XLab’ın izleme sistemleri tarafından yakalanan son örneklerde sık güncellemeler ve iyileştirmeler gözlemleniyor.
Siber güvenlik açısından, Zergeca’yı tespit etmek ve hafifletmek önemli zorluklar doğurur. Örnekleri, büyük ölçüde geleneksel imza tabanlı tespit yöntemlerinden kaçan sık karma değişiklikleri nedeniyle, antivirüs platformları arasında değişen tespit oranları sergiler. Bu dinamik yapı, birden fazla DNS çözümleme yöntemi ve şifreleme protokolünü kullanma yeteneğiyle birleştiğinde, Zergeca’yı siber suçluların elinde zorlu bir rakip haline getirir.
Botnet’in operasyonel erişimi, Kanada, Amerika Birleşik Devletleri ve Almanya dahil olmak üzere birçok bölgede hissedildi ve burada öncelikli olarak ackFlood ve synFlood gibi vektörleri kullanarak DDoS saldırıları hedef aldı. Bu saldırılar, Zergeca’nın kritik çevrimiçi hizmetleri ve altyapıyı bozma potansiyelini vurgulayarak dünya çapında siber güvenlik için ciddi sonuçlar doğuruyor.
Siber güvenlik araştırmacıları Zergeca’nın karmaşıklıklarını çözmeye devam ederken, endüstri akranları arasındaki iş birlikleri ve bilgi paylaşımı hayati önem taşıyor. QiAnXin XLab gibi kuruluşlar, ortaya çıkan siber tehditlere karşı koruma sağlamak için temel istihbarat sağlayarak ön saflarda yer alıyor. Siber güvenlik alanında bu tür karmaşık botnetlerin etkisini azaltmak için uyanıklık ve proaktif savunma önlemleri hayati önem taşıyor.