FBI, tehdit aktörlerinin ömrünün sonu (EOL) yönlendiricilerine 5Socks ve herhangi bir proxy ağlarında satılan vekillere dönüştürmek için kötü amaçlı yazılımlar kullandığı konusunda uyarıyor.
Yıllar önce piyasaya sürülen ve artık satıcılarından güvenlik güncellemeleri almayan bu cihazlar, kalıcı kötü amaçlı yazılımları enjekte etmek için halka açık istismarlardan yararlanan dış saldırılara karşı savunmasızdır.
Meydan okuduktan sonra, kötü niyetli trafiği yönlendiren konut proxy botnetlerine eklenirler. Birçok durumda, bu vekiller siber suçlular tarafından kötü niyetli faaliyetler veya siber saldırılar yapmak için kullanılır.
FBI Flash Danışmanlığı, “5Socks ve herhangi bir proxy ağı ile suçlular, müşterilerin satın almaları ve kullanması için vekil olarak uzlaşmış yönlendiricilere erişim satıyor.”
“Proxy’ler tehdit aktörleri tarafından kimliklerini veya yerlerini gizlemek için kullanılabilir.”
Danışmanlık, aşağıdaki EOL Linksys ve Cisco modellerini ortak hedefler olarak listeler:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cradlepoint E100
- Cisco M10
FBI, Çin devlet destekli aktörlerin, bu yönlendiricilerde, kritik ABD altyapısını hedefleyen operasyonlar da dahil olmak üzere gizli casusluk kampanyaları yapmak için bilinen (N-Day) güvenlik açıklarından yararlandığı konusunda uyarıyor.
İlgili bir bültende, ajans, bu yönlendiricilerin çoğunun “Themoon” kötü amaçlı yazılımlarının bir çeşidi ile enfekte olduğunu doğrular, bu da tehdit aktörlerinin onları vekil olarak yapılandırmasını sağlar.
FBI Bülteni, “Yaşam sonu yönlendiricileri siber aktörler tarafından temoon kötü amaçlı yazılım botnet varyantları kullanılarak ihlal edildi.”
“Son zamanlarda, hayatın sonunda, uzaktan yönetim açılan bazı yönlendiriciler, yeni bir temalı kötü amaçlı yazılım tarafından tehlikeye atıldığı tespit edildi. Bu kötü amaçlı yazılım, siber aktörlerin şüphesiz kurban yönlendiricileri üzerine vekiller kurmasına ve anonim olarak siber suçlar yürütmesine izin veriyor.”
Tahmin edildikten sonra, yönlendiriciler, internetteki savunmasız cihazları tarama ve tehlikeye atma gibi yürütülecek komutlar almak için Komut ve Kontrol (C2) sunucularına bağlanır.
FBI, vekillerin daha sonra kripto para birimi hırsızlığı, kiralama için siber suç faaliyetleri ve diğer yasadışı operasyonlar sırasında tespitten kaçınmak için kullanıldığını söylüyor.
Bir botnet tarafından yaygın olan uzlaşma belirtileri arasında ağ bağlantısı kesintileri, aşırı ısınma, performans bozulması, yapılandırma değişiklikleri, haydut yönetici kullanıcılarının görünümü ve olağandışı ağ trafiği bulunur.
Botnet enfeksiyonları riskini azaltmanın en iyi yolu, yaşam sonu yönlendiricilerini daha yeni, aktif olarak desteklenen modellerle değiştirmektir.
Bu imkansızsa, satıcının resmi indirme portalından kaynaklanan modeliniz için en son ürün yazılımı güncellemesini uygulayın, varsayılan yönetici hesabı kimlik bilgilerini değiştirin ve uzaktan yönetim panellerini kapatın.
FBI, EOL cihazlarına yüklenen kötü amaçlı yazılımlarla ilişkili uzlaşma göstergelerini paylaştı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.