Lumen’in Black Lotus Laboratuarları kısa bir süre önce Bilgisayar Korsanlarının ‘Hiatus’ olarak bilinen bir kampanyada şu anda DrayTek Vigor yönlendirici modelleri 2960 ve 3900’ü hedef aldığına tanık oldu.
Bilgisayar korsanlarının birincil amacı, kurbanlardan veri çalmak ve siber casusluk amacıyla gizli bir proxy ağı kurmaktır.
DrayTek’in Vigor cihazları, küçük ve orta ölçekli kuruluşlar tarafından kurumsal ağlara uzaktan erişim için kullanılan işletme sınıfı VPN yönlendiricileridir.
2023 Şubat ayı ortası itibariyle yaklaşık 4.100 DrayTek yönlendiricisinin internette savunmasız olduğu tahmin ediliyor. Bunun, açığa çıkan toplam DrayTek yönlendirici sayısının yaklaşık %2’sini temsil ettiği tahmin ediliyor.
Temmuz 2022’de başlayan ve bugüne kadar devam eden bu son bilgisayar korsanlığı kampanyasında yer alan üç temel bileşen vardır:-
- Kötü niyetli bir bash betiği
- “HiatusRAT” adlı bir kötü amaçlı yazılım
- Meşru ‘tcpdump’
Kampanyanın en ilgi çekici yanı ise başta kampanyaya adını veren HiatusRAT bileşeni. Bu aracın kullanıldığı çeşitli amaçlar vardır ve burada aşağıda belirtilmiştir: –
Ek yükler için indirme
Komutları çalıştıran ihlal edilen cihazda
Cihazı bir SOCKS5 proxy’ye dönüştürme
Teknik Analiz
HiatusRAT, çoğunlukla aşağıdaki bölgelerde yaklaşık yüz işletmeye bulaştı:-
- Amerika
- Avrupa
- Kuzey Amerika
DrayTek yönlendiricilerinin başlangıçta nasıl ele geçirildiği henüz bilinmiyor ve şu anda bilim adamları bile bunun nasıl olduğunu belirleyemiyor.
Tehdit aktörleri, bir bash komut dosyası dağıtarak yönlendiriciye üç bileşen indirir ve bunu cihaza erişim kazandıktan sonra yaparlar.
Bu betiğin bir parçası olarak, ilk adım HiatusRAT’ı ‘/database/.updata’ konumuna indirmek ve oradan çalıştırmaktır. Kötü amaçlı yazılım, 8816 numaralı bağlantı noktasında bir işlemin zaten çalışmakta olduğunu tespit ettikten sonra onu dinlemeye başlar ve onu öldürür.
HiatusRAT’ın izleme sisteminin bir parçası olarak tehdit aktörü, her sekiz saatte bir C2’ye bir kalp atışı POST göndererek güvenliği ihlal edilmiş yönlendiricinin durumunu izleyebilir.
Aşağıdakiler, olumsuz etkilenen sektörlerden bazılarıdır: –
- İlaçlar
- BT hizmetleri
- Danışmanlık firmaları
- Belediye
Toplanan veri
İhlal edilen cihazdan aşağıdaki bilgiler toplanır:
- Mac Adresi
- Çekirdek sürümü
- Sistem mimarisi
- Donanım yazılımı sürümü
- Yönlendirici IP adresi
- yerel IP adresi
- Bitişik LAN’daki cihazların MAC’leri
- Montaj noktaları
- Dizin düzeyinde yol konumları
- Dosya sistemi türü
- İşlem adları
- Kimlikler
- UID’ler
- Argümanlar
Özellikler
Black Lotus Labs’ın kötü amaçlı yazılıma yönelik tersine mühendislik analizinin bir sonucu olarak, aşağıdaki özellikler ortaya çıktı:-
- config: C2’den yeni konfigürasyonu yükleyin.
- kabuk: Etkilenen cihazda uzak bir kabuk oluşturur.
- dosya: C2 dosyalarına erişilebilir, silinebilir veya dışarı sızılabilir.
- yürütücü: C2’den bir dosya alın ve yürütün.
- komut dosyası: C2’den bir komut dosyası çalıştırın.
- tcp_forward: Bir ana bilgisayarın dinleme bağlantı noktasından TCP verisi alındığında, onu bir yönlendirme adresine iletin.
- socks5: Güvenliği ihlal edilmiş yönlendiricide bir SOCKS v5 proxy sunucusu kurun.
- çıkın: Kötü amaçlı yazılımın yürütülmesine bir son verin.
SOCKS, diğer virüslü makinelerden veri iletirken ağ trafiğini gizlemek ve meşru davranışı taklit etmek için kullanılır.
Çalıştırıldığında bash betiği tarafından bir paket yakalama aracı da kurulacaktır. Bu araç yardımıyla mail sunucularına bağlı TCP portları ve FTP bağlantıları izlenir.
Aşağıda izlenen bağlantı noktalarından bahsetmiştik: –
- FTP için Bağlantı Noktası 21
- SMTP için Bağlantı Noktası 25
- Bağlantı noktası 110, POP3 tarafından kullanılır
- 143 numaralı bağlantı noktası, IMAP protokolüyle ilişkilidir
Hiatus küçük ölçekli bir kampanya olsa da kurbanlar üzerindeki etkisi son derece ciddi olabilir. Lumen tarafından yürütülen araştırma, tehdit aktörünün tespit edilmekten kaçınmak için kasten küçük hacimli saldırılar sürdürdüğünü gösteriyor.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin