Fordiguard Labs, çoklu satıcıların kritik altyapı cihazlarını hedefleyen karmaşık bir kötü amaçlı yazılım kampanyası ortaya çıkardı ve “Gayfemboy” kötü amaçlı yazılım suşu, ileri kaçaklama tekniklerini ve çok platform yeteneklerini gösteriyor.
Kampanya, arka kapı erişimi ve dağıtılmış hizmet (DDOS) saldırı yetenekleri ile kalıcı botnet altyapısı oluşturmak için Draytek, TP-Link, Raisecom ve Cisco sistemlerindeki güvenlik açıklarından yararlanarak kuruluşları küresel olarak etkiler.
Kritik altyapıya çok satıcı saldırı
Gayfemboy kötü amaçlı yazılım kampanyası, Çinli siber güvenlik araştırmacıları tarafından yapılan ilk keşfinden bu yana önemli ölçüde genişledi ve Fordiguard Labs, Temmuz 2025’te başlayarak yenilenmiş etkinliği izledi.
Kötü amaçlı yazılım, Draytek Vigor Serisi yönlendiricileri, TP-Link Archer AX21 cihazları, Raisecom MSG Ağ Geçidi Sistemleri ve Cisco Kimlik Hizmetleri Motoru (ISE) platformları dahil olmak üzere çok çeşitli ağ altyapı cihazlarını hedeflemektedir.
Saldırı vektörleri 87’de tutarlı bir kaynaktan kaynaklanır[.]121[.]84[.]34, 220’de barındırılan yük dağıtımıyla[.]158[.]234[.]135.
Kampanya, Brezilya, Meksika, ABD, Almanya, Fransa, İsviçre, İsrail ve Vietnam’daki organizasyonları etkileyen küresel erişimi gösteriyor.
Hedeflenen sektörler arasında imalat, teknoloji, inşaat ve medya iletişim endüstrileri bulunmaktadır. Kötü amaçlı yazılım, CVE-2020-8515, CVE-2023-1389, CVE-2024-7120 ve yakın zamanda açıklanan CVE-2025-20281 dahil olmak üzere on farklı CVE güvenlik açıkından yararlanır.
Gelişmiş kötü amaçlı yazılım kaçırma
Gayfemboy, sofistike anti-analiz mekanizmaları ve gizleme teknikleri yoluyla kendini geleneksel Mirai varyantlarından ayırır.
Kötü amaçlı yazılım, standart UPX paketleme başlıklarını değiştirerek tanınabilir “UPX!” Tespitten kaçınmak için yazdırılamayan onaltılık değerlerle imza.
Öngörülebilir Linux mimarlık uzantılarından ziyade aarch64 sistemleri için x86-64 için “xale” ve “aale” gibi farklı tanımlayıcılar atayan mimariye özgü adlandırma kuralları kullanır.
Kötü amaçlı yazılım, farklı özelliklere sahip dört birincil fonksiyonel modül içerir:
- İzlemek -Anti-analiz tekniklerini uygularken, rakip kötü amaçlı yazılım ve güvenlik araçlarını sonlandırırken iş parçacıklarını ve işlemleri izler.
- Bekçi köpeği -UDP bağlantı noktası bağlama ve kendi kendini izleme mekanizmaları yoluyla kötü amaçlı yazılım kalıcılığını sağlar.
- Saldırgan – UDP Sel, TCP Syn Sel ve ICMP Taşkın yetenekleri dahil DDOS saldırılarını başlatır.
- Katil -Zaman kontrolleri ve uzaktan öldürme komutu işlevselliği yoluyla kendini korumayı zorlar.
Sandbox kaçırma, sanallaştırılmış ortamlarda uzun süreli uyku sürelerine neden olan hassas 50-nanosaniye zamanlama gecikmeleri yoluyla gerçekleşir.
Komut ve kontrol altyapısı, çapraz derleme dahil olmak üzere birden çok alan kullanır[.]Org, I-Kiss-Boys[.]com ve tüylü femboys[.]Üst, DNS çözünürlüğü, 8.8.8.8 gibi genel çözücüler aracılığıyla yerel filtrelemeyi atlayarak.
Kötü amaçlı yazılım, C2 iletişimi için önceden tanımlanmış 15 bağlantı noktasını sistematik olarak tarar ve ağ kısıtlamalarına rağmen bağlantı sağlar.
Fortinet koruma önlemlerini açıklıyor
Fortinet, Fortiguard Services aracılığıyla Gayfemboy kampanyasına karşı çok katmanlı koruma uyguladı.
Antivirüs imzaları kötü amaçlı yazılımları Bash/dloader.p! TR, Bash/Agent.csq! Tr.dldr, elf/mirai.csq! TR ve elf/mirai.gfb! TR’yi Fortigate, Fortimail, Forticlient ve Fortiedr platformlarında algılar.
Web filtreleme hizmetleri aktif olarak tanımlanan C2 alanlarını engellerken, IPS imzaları kullanılmış tüm güvenlik açıklarına karşı koruma sağlar.
Kuruluşlar, etkilenen sistemlerin derhal yamalanmasına öncelik vermeli ve belirlenen komut ve kontrol altyapısı için kapsamlı ağ izlemesi uygulamalıdır.
Fortiguard IP itibar hizmetleri, küresel güvenlik ortaklarından işbirlikçi tehdit istihbaratı yoluyla saldırı kaynaklarını proaktif olarak engeller.
Şirket, örgütsel güvenlik bilincini ve olay müdahale yeteneklerini geliştirmek için ücretsiz Fortinet Sertifikalı Temel Siber Güvenlik eğitimini tamamlamanızı önermektedir.
Uzlaşma Göstergeleri (IOCS):
| Tip | Değer |
|---|---|
| Ivır zıvır | 141[.]11[.]62[.]222 |
| Ivır zıvır | 149[.]50[.]96[.]114 |
| Ivır zıvır | 220[.]158[.]234[.]135 |
| Ivır zıvır | 78[.]31[.]250[.]15 |
| Ivır zıvır | 5[.]182[.]206[.]7 |
| Ivır zıvır | 5[.]182[.]204[.]251 |
| İhtisas | çapraz derleme[.]org |
| İhtisas | I-Kiss-Boys[.]com |
| İhtisas | tüylü femboylar[.]tepe |
| İhtisas | twinker[.]NL |
| İhtisas | 3Gipcam[.]com |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!