2025’in başından beri, siber güvenlik topluluğu, Aisuru adlı bir botnet’e atfedilen rekor kırıcı 11.5 TBPS saldırısıyla sonuçlanan dağıtılmış hizmet reddi (DDOS) bant genişliğinde eşi görülmemiş bir artışa tanık oldu.
XLab’ın küresel DDOS olaylarını sürekli izlemesinden ortaya çıkan bu Botnet, dünya çapında yaklaşık 300.000 aktif cihazı bir araya getirmek için uzlaşmış yönlendirici ürün yazılımını kaldırdı.
Araştırmacılar ilk olarak, büyük altyapı sağlayıcılarını hedefleyen olağandışı kötü niyetli trafik artışlarını tespit ettiler ve altta yatan tehdide daha derin araştırmalar başlattılar.
XLab analistleri, Aisuru’nun saldırı metodolojisi ve önceki kampanyalar arasında çarpıcı benzerlikler olduğunu kaydetti, ancak bu operasyonun ölçeği ve karmaşıklığı önceki kriterleri çok aştı.
Aisuru’nun yayılması Nisan 2025’te tehdit aktörlerinin Totolink yönlendirici ürün yazılımı güncelleme sunucularında bir güvenlik açığından yararlandığı zaman başladı.
Ürün yazılımı URL’sini kötü amaçlı bir komut dosyasına işaret edecek şekilde değiştirerek, otomatik bir güncelleme gerçekleştiren her cihaz enfekte oldu.
Birkaç hafta içinde, Aisuru’nun ağının büyüklüğü 100.000’den fazla yönlendiriciye yükseldi ve Eylül 2025’e kadar Botnet yaklaşık 300.000 düğümü pekiştirmişti.
XLab araştırmacıları, trafik yüklerini birden çok komut ve kontrol (C2) sunucusu boyunca dağıtmak için GRE tünelinin kullanımını tespit ettiler ve botnet’in hedef ağları kolaylıkla ezen eşzamanlı bir paket seli düzenlemesini sağladı.
.webp)
11.5 TBPS saldırısının etkisi, hizmet sağlayıcıları SYN, UDP ve DNS amplifikasyon taleplerinin selini azaltmak için uğraştıkça küresel olarak hissedildi.
Etkilenen kuruluşlar, büyük ölçekli IoT uzlaşmasını ileri kaçaklama teknikleriyle birleştirme gücünü vurgulayarak aralıklı kesintiler ve hizmet bozulması bildirdi.
XLab analistleri, geleneksel amplifikasyon vektörlerinden eski azaltma araçlarını atlamak için tasarlanmış özel hazırlanmış paket dizilerine hızlı kaymayı, Aisuru’nun DDOS veriminde yeni dünya rekorları belirlemesine izin veren bir yeniliği belirledi.
Aisuru’nun dağıtılmış mimarisi ve bant genişliği kapasitesi kendi başlarına şaşırtıcı olsa da, kötü amaçlı yazılımların temeldeki davranışı daha derin bir teknik arıtma seviyesini ortaya koymaktadır.
Çift versiyonlu yayılma motoru, hem sıfır gün istismarlarını hem de erişimini genişletmek için bilinen N-Day güvenlik açıklarını entegre ederek sürekli evrimi gösterir.
Aynı şekilde, kötü amaçlı yazılım kod tabanının tam bir revizyonunu gerektirmeden şifreleme, iletişim protokolleri ve saldırı komutlarında hızlı güncellemeleri kolaylaştıran modüler tasarımı da aynı şekilde.
Enfeksiyon Mekanizması: Ürün Yazılımı Güncellemesi Kaçırma
Aisuru’nun enfeksiyon mekanizmasına girmesi, aldatıcı derecede basit ama yıkıcı bir yaklaşımı ortaya çıkarır.
Nisan 2025’te, saldırganlar Totolink’in ürün yazılımı güncelleme sunucusunu ihlal ederek bir kabuk komut dosyası ekledi t.sh Aisuru yükünü indirmek için yönlendirilen cihazlar.
Yürütüldükten sonra, komut dosyası değiştirerek kalıcı yürütme kurdu /etc/rc.local girişler ve Linux OOM katilini devre dışı bırakma /proc/self/oom_score_adjbotun yeniden başlatmalarda yerleşik kalmasını sağlamak.
Yük ikili, yeniden adlandırıldı libcow.sogibi ortak bir sistem deemon olarak maskelenerek tespit edilmekten kaçınıldı telnetd veya dhclient.
Başlatma üzerine Aisuru, sanallaştırma artefaktları ve hata ayıklama araçlarını tarayarak sanallaştırılmış veya analiz ortamları altında kendini sonlandırmak için ortam kontrolleri gerçekleştirir.
Daha sonra, DDOS talimatlarından konut proxy atamalarına kadar değişen komutları değiştirerek özel bir AES-Xor hibrid protokolü aracılığıyla C2 sunucuları ile güvenli bir kanal oluşturur.
Kalıcılık rutininin bir açıklayıcı snippet’i aşağıdakiler:-
# Persistence setup in /etc/rc.local
echo "/usr/lib/libcow.so &" >> /etc/rc.local
chmod +x /usr/lib/libcow.so.webp)
Bu mekanizma, tehdit aktörlerinin hem geleneksel Linux yönetimi hem de ısmarlama kötü amaçlı yazılım mühendisliği üzerindeki ustalığını vurgular ve Aisuru’nun DDOS ekosisteminde hakimiyeti sürdürmesini sağlar.
Free live webinar on new malware tactics from our analysts! Learn advanced detection techniques -> Register for Free