“Rustobot” adlı yeni bir kötü amaçlı yazılım, yetkisiz erişim elde etmek ve dağıtılmış hizmet reddi (DDOS) saldırılarını başlatmak için çeşitli yönlendirici modellerindeki güvenlik açıklarından yararlandığı keşfedildi.
İlk olarak Ocak-Şubat 2025’te gözlemlenen bu gelişmiş siber tehdit, daha önce bilinen kötü amaçlı yazılımlardan farklı olarak sofistike teknikler sergileyen Totolink ve Draytek cihazlarını hedefliyor.
Sömürü ve yayılma stratejisi
BOTNET, öncelikle Totolink’te ikamet eden birden fazla komut enjeksiyon güvenlik açığından yararlanır. cstecgi.cgi Script ve Draytek’s cgi-bin/mainfunction.cgi/apmcfgupload arayüz.
.png
)
Bu güvenlik açıkları, saldırganların keyfi sistem komutlarını uzaktan çalıştırmasına izin verir.
Rustobot, gibi ortak komutları kullanarak birkaç indirici komut dosyası kullanıyor wget Ve tftp ARM5, ARM6, ARM7, MIPS, MPSL ve X86 dahil olmak üzere farklı mimarilere sahip cihazlarda kendini yaymak için.
Enfeksiyon üzerine Rustobot, XOR algoritmasını, şifre metnini kodlamak için anahtarları almak için karmaşık hesaplamalarla kullanarak konfigürasyonunu gizlemek için şifreleme kullanır.
Bu yaklaşım, kötü amaçlı yazılımların standart güvenlik sistemleri tarafından algılanmasına yardımcı olur.
Kod çözüldükten sonra yapılandırma, komut ve kontrol (C2) sunucu alanlarının çözülmesine ve DDOS saldırılarının yürütülmesine yardımcı olur.
Tersine mühendislik yoluyla tanımlanan kötü amaçlı yazılımların giriş noktası, kötü niyetli davranışlarını gerçekleştirmek için sistem API ofsetlerini kullanarak yüksek düzeyde karmaşıklık gösterir.
DDOS yetenekleri ve komut yapısı
Rustobot, ham IP, TCP ve UDP selleri dahil olmak üzere çeşitli DDOS saldırı yöntemlerini destekler.
Önceden tanımlanmış komutlara dayalı saldırılar başlatarak C2 sunucusundan saldırı parametreleri alır.
Örneğin, 0x03 Komut, kurban IP adreslerini, bağlantı noktası numaralarını, saldırı süresini ve paket uzunluklarını belirterek bir UDP sel saldırısını tetikler.
Bu yapılandırılmış komut sistemi, saldırganların önemli kesintileri hassasiyetle koordine etmelerini sağlar.
Kötü amaçlı yazılım kampanyaları, teknoloji sektörünü hedefleyen Japonya, Tayvan, Vietnam ve Meksika’da gözlendi.
Saldırılar sadece etkilenen cihazların güvenliğini tehlikeye atmakla kalmaz, aynı zamanda bu internet ağ geçitlerine dayanan işletmelerin operasyonel bütünlüğü için de önemli bir risk oluşturur.
Bu tehditle mücadele etmek için Fortiguard Labs, aşağıdakileri içeren güvenlik çözümlerine birden fazla koruyucu önlemi entegre etmiştir:
- Antivirüs Hizmetleri: Fortiguard Antivirüs, Bash/Mirai.aeh! Tr.dldr ve Elf/Mirai varyasyonları gibi imzalar altında Rustobot’u algılar ve engeller.
- Web Filtreleme: C2 sunucu bağlantılarını engeller.
- IPS İmzaları: Rustobot tarafından kullanılan güvenlik açıklarına karşı koruma sağlar.
Rapora göre Fortinet, kuruluşlara siber güvenlik alanındaki Fortinet Sertifikalı Temelleri (FCF) aracılığıyla eğitimi dikkate almanın yanı sıra uç nokta izleme ve kimlik doğrulamasını güçlendirmelerini tavsiye ediyor.
Fordiguard Labs’ın bu kapsamlı yaklaşımı, siber güvenlik topluluğundaki tüm paydaşların uyanık ve proaktif kalmaya çağıran Rustobot’un ortaya çıkan tehdidine karşı sağlam bir savunma sağlıyor.
Uzlaşma Göstergeleri Tablosu (IOCS)
| Tip | Değer |
|---|---|
| Url | hxxp: // 66[.]63[.]187[.]69/w.sh |
| Url | hxxp: // 66[.]63[.]187[.]69/wget.sh |
| Url | hxxp: // 66[.]63[.]187[.]69/tftp.sh |
| Ev sahibi | dvrhelper[.]anondns[.]Net, Techsupport[.]anondns[.]Sadece, dinlenme kemiği[.]anondns[.]açık |
| Ivır zıvır | 5[.]255[.]125[.]150 |
| Dosya karma | 76A487A46CFEB94B5A629000000000000000000000000000CEFFBBBB923C3BEFE71A1A3B7D6D67341A40BC454, 75D031E8FAAF3AA0E9CAFD5EF0FD7DE1A2A80AA245A9E92BAE6433A17F48385, … |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!