Güvenlik firması Lumen Technologies’in araştırma birimi olan Black Lotus Labs’teki araştırmacılar, yeni bir platformlar arası kötü amaçlı yazılım tespit ettiler. Araştırmacılar tarafından Kaos olarak adlandırılan bu kötü amaçlı yazılım, kurumsal sunucular, FreeBSD kutuları ve küçük ofis yönlendiricileri dahil olmak üzere çok sayıda Windows ve Linux cihazına bulaştı.
Araştırmacılar ‘Kaos’ keşfetti
Lumen’in araştırmacıları kötü amaçlı yazılımı Kaos olarak adlandırdılar çünkü bu kelime kötü amaçlı yazılımın kullandığı dosya adlarında, işlev adlarında ve sertifikalarda tekrar tekrar görünüyor. Kötü amaçlı yazılım Çince yazılmış ve Çin merkezli bir komuta ve kontrol altyapısı kullanıyor.
Kötü amaçlı yazılım ilk olarak 16 Nisan’da, ilk kontrol sunucuları kümesi doğada canlı yayına girdikten sonra tespit edildi. Haziran ile Temmuz ortası arasında, Kaos bulaşmış cihazları temsil eden yüzlerce benzersiz IP adresi tespit edildi.
Son aylarda, güvenliği ihlal edilen cihazların sayısı Mayıs’ta 39’dan Ağustos’ta 93’e ve Eylül’de 111’e yükselerek enfeksiyon oranı yoğunlaştı. Yaklaşık 100 Chaos kötü amaçlı yazılım örneğini analiz ettiler.
Kaos- Çok İşlevli Kötü Amaçlı Yazılım
Black Lotus Labs araştırmacıları, Chaos’un Windows ve Linux gibi birden çok platforma dayalı cihazları hedefleyen Go tabanlı, çok işlevli bir kötü amaçlı yazılım olduğunu yazdı.
Araştırmacılar, raporlarında, kötü amaçlı yazılımın gücünün, iki işletim sistemi üzerindeki etkilerinin yanı sıra, MIPS, ARM, PowerPC ve Intel (i386) dahil olmak üzere birden fazla mimaride çalışma yeteneği gibi çeşitli faktörlerden kaynaklandığını belirtti. Bu kötü amaçlı yazılım 70 farklı komutu destekler.
“Kaos işlevi, ana bilgisayar ortamını numaralandırma, uzak kabuk komutları çalıştırma, ek modüller yükleme, SSH özel anahtarlarını çalma ve kaba zorlama yoluyla otomatik olarak yayılma ve ayrıca DDoS saldırıları başlatma yeteneğini içerir.”
Siyah Lotus Laboratuvarları
Kaos ve Kaiji IoT Kötü Amaçlı Yazılım Karşılaştırması
Ayrıca, Chaos kötü amaçlı yazılımı, kaba kuvvet, CVE’ler ve çalınan SSH anahtarları aracılığıyla yayıldığı için dağıtılmak üzere spam göndermeyi kullanan Emotet gibi fidye yazılımı dağıtan botnet’lerden farklıdır.
Araştırmacılar ayrıca, Chaos’un kod tabanının ve işlevsel örtüşmesinin, onu DDoS saldırıları için Linux cihazlarından ödün vermesiyle bilinen Kaiji IoT kötü amaçlı yazılımına benzediğini gözlemledi.
Araştırmacılar, Chaos kötü amaçlı yazılımlarının ve çoklu kümelerin C2 sunucularını sıraladıktan sonra, bazılarının teknoloji, finansal hizmetler, oyun, eğlence ve medya sektörü firmalarına yönelik son DDoS saldırılarında kullanıldığını belirlediler.
Araştırmacılar, botnet altyapısının bazı ana DDoS kötü amaçlı yazılım ailelerine kıyasla nispeten küçük olmasına rağmen, Kaos’un hızla büyüdüğü sonucuna vardı. Ayrıca, tasarımı ve yeniliği göz önüne alındığında, ‘ilk erişim, DDoS saldırıları ve kripto madenciliği için bir virüs bulaşmış cihazlar ağı geliştiren bir siber suçlu aktörün’ işi gibi göründüğünü de eklediler.
Konum
Botların çoğu Avrupa’da, özellikle İtalya’da bulunuyor, ancak enfeksiyonlar Asya Pasifik, Güney Amerika ve Kuzey Amerika’da da gözlendi. Bazı örneklerde araştırmacılar, saldırganların Zyxel ve Huawei cihazlarını etkileyen CVE-2017-17215 ve CVE-2022-30525 güvenlik açıklarından yararlandığını fark etti.
Alakalı haberler
- Eski kripto kötü amaçlı yazılımları Windows ve Linux cihazlarını vuruyor
- Sysrv-k Botnet, Cryptominer ile Windows ve Linux’u Vurdu
- SysJoker arka kapısı Windows, macOS ve Linux Cihazlarını Vuruyor
- ElectroRat kripto kötü amaçlı yazılımı macOS, Windows ve Linux cihazlarını vurdu
- Windows, Linux ve sabit sürücüleri çökertmek için sonik sinyaller kullanılabilir