Güvenlik araştırmacıları, Mirai’den türetilen DDoS botnet yeteneklerini gizli, dosyasız bir kripto madenciyle birleştiren, IoT ve bulut hedefli tehditlerde önemli bir evrimi temsil eden karmaşık bir Linux kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Cyble Research Intelligence Labs tarafından V3G4 olarak adlandırılan kötü amaçlı yazılım, hem hizmet reddi saldırıları hem de kripto para madenciliği operasyonları için kalıcı erişimi korurken birden fazla mimarideki Linux sunucularını ve IoT cihazlarını tehlikeye atmak için tasarlanmış çok aşamalı bir enfeksiyon zinciri kullanıyor.
Bu hibrit yaklaşım, tehdit aktörlerinin virüslü cihazlardan aynı anda iki amaç için yararlanarak finansal getirilerini en üst düzeye çıkarmasına olanak tanır ve yeni teknikler, saldırı vektörleri ve kaçırma yöntemleriyle gelişmeye devam eden esnek bir gelir akışı oluşturur.
Saldırı, uname -m komutunu kullanarak kurban sistemin CPU mimarisini otomatik olarak tanımlayan Universal Bot Downloader adlı kompakt bir kabuk komut dosyasıyla başlıyor.
x86_64, ARM64, ARM7, ARM5, MIPS ve MIPSEL değişkenlerini destekleyen tespit edilen mimariyi temel alan komut dosyası, özelleştirilmiş bir indirme URL’si oluşturur ve 103.149.93.224 adresindeki saldırgan tarafından kontrol edilen sunucudan uygun bot ikili dosyasını getirir.
Yük, /tmp dizinine yazılır, chmod aracılığıyla yürütülebilir izinler atanır ve çeşitli Linux ortamlarında hıza ve geniş uyumluluğa öncelik veren klasik IoT botnet dağıtım modellerini takip ederek hemen başlatılır.
.webp)
Yürütüldükten sonra, UPX paketli ve ayrıştırılmış ikili sistem, ortam keşfi yoluyla sistem bilgilerini toplar, operasyonel parametreleri belirlemek için çekirdek ayrıntılarını ve işlem sınırlarını kontrol eder.
Cyble güvenlik analistleri, kötü amaçlı yazılımın, daha önce bulut enfeksiyonlarında belgelenen V3G4-Mirai türlerinin davranış kalıplarıyla eşleşen, stdout’a “xXxSlicexXxxVEGA” imzalı bir banner yazdırdığını belirtti.
Bot daha sonra prctl sistem çağrıları aracılığıyla meşru systemd-logind arka plan programı gibi görünmeye çalışarak gizli moda girer, standart I/O akışlarını kapatır ve görünür süreç takibini ortadan kaldırmak ve şüpheyi tamamen önlemek için setid’i kullanarak kontrol terminalinden ayrılır.
.webp)
Kötü amaçlı yazılım, ham TCP soket taramasını DNS tabanlı esneklikle birleştiren karmaşık bir komuta ve kontrol altyapısı kurar.
Birden fazla çalışan iş parçacığı, internetteki 22 numaralı bağlantı noktasına aynı anda yüksek hızlı SYN paketi püskürtme gerçekleştirerek, SSH’nin yeni kurbanlara hızlı kaba kuvvet yayılımını sağlar.
.webp)
Eş zamanlı olarak bot, 159.75.47.123 ile eşlenen ve gelişmiş gizlilik için 60194 gibi standart olmayan bağlantı noktaları aracılığıyla hem botnet komutlarına hem de madenci yapılandırmasına hizmet eden baojunwakuang.asia C2 alanını çözümlemek için Google’ın genel DNS sunucusuna (8.8.8.8) karşı çok iş parçacıklı DNS sorguları gerçekleştirir.
Enfeksiyon Mekanizması ve Gizli Mimari
Üçüncü aşama yükü, kampanyanın tespitten kaçınmaya odaklandığını gösteren gizli bir XMRig tabanlı Monero madencisini kullanıyor.
Kötü amaçlı yazılım, statik yapılandırma dosyalarını gömmek yerine, madencilik parametrelerini çalışma zamanında C2 sunucusundan dinamik olarak getiriyor.
Yükleyici, madenciyi meşru işlemlerle harmanlamak için /tmp/.dbus-daemon olarak gizler ve TCP aracılığıyla yapılandırma verilerini ister, diskte yapılar oluşturmadan cüzdan adreslerini, havuz URL’lerini ve algoritma ayarlarını içeren bir JSON blobu alır.
.webp)
Bu dosyasız yaklaşım, operatörlerin adli analizleri engellerken madencilik parametrelerini gerçek zamanlı olarak döndürmesine olanak tanır.
Maskelenmiş süreçler, ham soket taraması ve dinamik yapılandırma sunumunun birleşimi, modern botnet’lerin güvenliği ihlal edilmiş Linux ortamlarında gizliliği ve para kazanmayı nasıl en üst düzeye çıkardığını gösteriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
