Ahnlab Güvenlik İstihbarat Merkezi (ASEC), stratejik olarak konuşlandırılan balpotlar aracılığıyla savunmasız Linux sunucularını kullanan siber tehditleri aktif olarak izliyor ve SSH hizmetleri, dağıtılmış hizmet reddi (DDO) ve kripto para madenciliği madenciliği aktörleri için ana hedef olarak ortaya çıkan zayıf kimlik bilgileri kullanıyor.
Son zamanlarda yapılan bir olayda ASEC, tehdit aktörlerinin bir Honeypot Linux sunucusuna başarılı bir şekilde SSH’ye saldırı ile sızdığını ve daha sonra SVF Botnet kötü amaçlı yazılımlarını dağıttığını gözlemledi.
“SVF ekibine” atfedilen bu Python tabanlı DDOS botu, komuta ve kontrol (C&C) altyapısı olarak anlaşmazlıktan yararlanır ve saldırı kaçakçılığını artırmak için proxy sunucularını içerir.
Kurulum işlemi, sanal bir ortam oluşturulmayı, Discord.py, Requests, AiOHTTP ve LXML gibi bağımlılıkların yüklenmesini, ardından bir termbin URL’sinden Main.py komut dosyasını indirmeyi ve gruplandırılmış komut yürütmesini kolaylaştırmak için “-s 5” gibi bir sunucu grubu parametresi ile yürütülmeyi içerir.
Botnet işlevselliği
SVF botnet, yürütme üzerine bir anlaşmazlık bot jetonu ile kimlik doğrulaması yaparak, hedeflenen DDOS orkestrasyonu için enfekte sunucunun WebHook üzerinden belirlenmiş grubunu rapor ederken uzaktan kumanda sağlar.
Komut seti ağırlıklı olarak katman 7 (L7) HTTP sel ve katman 4 (L4) UDP sel saldırılarını, iş parçacıkları, paket gücü ve eşzamanlılık için özelleştirilebilir parametreler dahil varyantlarla destekler.
SVF’ye özgü, vekil entegrasyonudur: genel vekil listeleri birden fazla github deposundan ve web sitelerinden sıyırır, Google girişlerini deneyerek bunları doğrular ve HTTP selleri sırasında orijinleri gizlemek ve bypass savunmalarını rastgele seçer.
$ Load gibi komutlar proxy havuzunu doldururken, $ CustomHttp ve $ CustomUDP özelleştirilmiş saldırıları etkinleştirir.
Ek yönergeler, sadeliğine rağmen modüler bir tasarımı yansıtan bot yeniden başlatma, çökme ve saldırı duraklarını ele alır.
Update sonrası, bot belirli bir IP’den gelişmiş sürümleri getirerek potansiyel evrimi daha sofistike suşlara dönüştürüyor.
Güvenlik etkileri
Bu sömürü, yetersiz güvence altına alınan Linux ortamlarının risklerini vurgular ve bunları tehdit aktör kontrolü altındaki farkında olmayan DDoS düğümlerine dönüştürür.
Yöneticiler, kaba kuvvet ve sözlük saldırılarını önlemek için sağlam, sık sık döndürülmüş şifreleri uygulamalı, güvenlik açıklarına karşı en son yamaları uygulamalı ve harici erişimi kısıtlamak için güvenlik duvarlarını dağıtmalıdır.
Ahnlab V3 gibi uç nokta korumasının güncellenmesi, önleyici kötü amaçlı yazılım algılama için çok önemlidir. Tehdit aktörleri giderek daha açık kaynaklı ekosistemlere döndükçe, balayepotlar yoluyla proaktif izleme, istihbarat toplama ve tehdit azaltma için hayati önem taşıyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Değer | Tanım |
|---|---|---|
| MD5 | Cffe3fb6cb3e4b9b453c4147bdcd8c12 | Kötü amaçlı yazılım karma |
| Url | http://146.59.239.144:55/ | URL’yi indir |
| Url | https://termbin.com/4ccx | Script indir url |
| Ivır zıvır | 185.254.75.44 | Saldırgan ip |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now