Condi, CVE-2023-1389’dan yararlanan ikinci DDoS botnet’idir ve Nisan 2023’te Mirai botnet onu hedeflemektedir.
FortiGuard Labs araştırmacıları, Condi adlı bir hizmet olarak DDoS botnet’in yeni örneklerini keşfettiler ve yeteneklerini 20 Haziran 2023’te yayınlanan son raporlarında paylaştılar. Fortinet araştırmacıları, Mayıs 2023’ten bu yana izleme sistemlerinin birçok Condi örneği topladığını yazdı. , botnet operatörlerinin erişimlerini genişletmeye çalıştıklarını gösteriyor.
Condi Nasıl Dağıtılır?
Araştırmalarına göre Condi, ZDI tarafından keşfedilen CVE-2023-1389’a karşı savunmasız olan TP-Link Archer AX21 (AX1800) Wi-Fi 6 yönlendiricilerini kullanarak dağıtılıyor. Bu, Nisan 2023’te Mirai botnet tarafından hedeflenen bu açıktan yararlanan ikinci DDoS botnet’tir. AX1800, 1,8 GBPS bant genişliğine sahip, Linux tabanlı çift bantlı bir yönlendiricidir.
Kaba kuvvet saldırılarıyla dağıtılan diğer botnet’lerin aksine Condi, savunmasız AX21 yönlendiricilerini kontrol etmek için bir modüle sahiptir. Bir tane bulursa, kötü amaçlı yazılımı dağıtmak için uzak bir sunucudan alınan bir kabuk komut dosyasını yürütür. Özellikle CVE-2023-1389’a karşı savunmasız olan yönlendiricileri arar.
Koşul Yetenekleri
Condi, rakip botnet’lerinin tüm süreçlerini öldüren akıllı bir botnet’tir.
/bin/busybox
/bin/systemd
/usr/bin
test
/tmp/condi
/tmp/zxcr9999
/tmp/condinetwork
/var/condibot
/var/zxcr9999
/var/CondiBot
/var/condinet
/bin/watchdogAyrıca Condi, eski sürümlerinin herhangi bir faaliyet yürütmesini engeller. Ancak, bu uygulama kusurludur çünkü Ad alanı, işlemlerin tam yolları yerine yalnızca yürütülebilir adlarını içerir.
Ek olarak Condi, aşağıdakiler de dahil olmak üzere diğer botnet’ler tarafından yaygın olarak kullanılan uzantıları içeren ikili dosya adlarıyla tüm işlemleri sonlandırır:
x86
x86_64
arm
arm5
arm6
arm7
mips
mipsel
sh4
PPCAncak, kalıcılıktan yoksundur ve sistem yeniden başlatılırsa hayatta kalamaz. Kötü amaçlı yazılım, bu sorunu çözmek için cihazı yeniden başlatmak veya kapatmak için kullanılan birkaç ikili dosyayı siler. Bu ikili dosyalar şunları içerir:
/usr/sbin/reboot
/usr/bin/reboot
/usr/sbin/shutdown
/usr/bin/shutdown
/usr/sbin/poweroff
/usr/bin/poweroff
/usr/sbin/halt
/usr/bin/haltCondi agresif para kazanma teknikleri sergiledi ve siber suçluların web sitelerinde TCP ve UDP sel saldırıları başlatmak için kiralayabilecekleri güçlü bir DDoS botnet oluşturmak için cihazları tuzağa düşürme yeteneğine sahip.
Güvenlik Açığı Ayrıntıları
Bilgin olsun, CVE-2023-1389 (CVSS puanı 8,8), yönlendiricinin web yönetim arabirimi API’sinde geçen yılın Mart ayı ortalarında keşfedilen, yüksek önem derecesine sahip kimliği doğrulanmamış bir komut ekleme ve uzaktan kod yürütme güvenlik açığıdır. ZDI, bu açığı Ocak 2023’te satıcıya bildirdi ve ardından TP-Link, Mart 2023’te 1.1.4 Yapı 20230219 sürümünde bir güvenlik güncellemesi yayınladı.
Condi’yi Kim Çalıştırıyor?
FortiGuard Labs’tan güvenlik araştırmacıları Joie Salvio ve Roy Tay’a göre bu botnet, Telegram’da zxcr9999 takma adıyla anılan bir tehdit aktörü tarafından işletiliyor. Oyuncunun, öncelikle hizmetlerini tanıtmak ve hatta kötü amaçlı yazılım kaynak kodunu satmak için Mayıs 2022’de başlatılan Condi Network adlı bir Telegram kanalı var.
Araştırmacılar bir blog gönderisinde, “Tehdit aktörü, hizmet olarak DDoS sağlayarak ve kötü amaçlı yazılım kaynak kodunu satarak botnet’inden para kazanıyor.”
Araştırmacılar, bilinen diğer güvenlik kusurlarından yararlanan ve yama uygulanmamış yazılımları botnet kötü amaçlı yazılımları tarafından daha yüksek bir istismar riskine sokan çok sayıda Condi örneği belirledi. Bu nedenle, bir yama yayınlandıktan sonra yazılımınızı güncellemek çok önemlidir.
- Verizon FiOS Router ve Güvenlik Sorunları
- Yönlendiricinizi ve WiFi’nizi Bilgisayar Korsanlarından Nasıl Koruyabilirsiniz?
- Mirai botnet, MooBot ile yeniden ortaya çıkıyor, D-Link cihazlarını vuruyor
- NETGEAR Yönlendirici Kusuru Kısıtlanmış Hizmetlere Erişime İzin Verdi
- Bilgisayar korsanları, kötü amaçlı “DSÖ” COVID-19 uygulamasını düşürmek için yönlendiricilerden yararlanır