NSFocus Fuing Lab’ın Küresel Tehdit Av Sistemi, Haziran 2025’ten bu yana hızla genişleyen “Hpingbot” adlı yeni bir Botnet ailesi keşfetti ve siber güvenlik sahnesinde önemli bir değişime işaret etti.
GO programlama dilini kullanılarak sıfırdan inşa edilen bu platformlar arası botnet, hem Windows hem de Linux/IoT ortamlarını hedefler ve AMD64, MIPS, ARM ve 80386 gibi birden fazla işlemci mimarisini destekler.
Mirai veya Gafgyt gibi tanınmış botnetlerin türevlerinden farklı olarak, Hpingbot, yük yükü dağılımı için çevrimiçi metin depolama platformu Pastebin’i kullanma gibi gizli ve verimlilik için alışılmadık kaynaklardan yararlanarak dikkat çekici bir yenilik sergiliyor.
Rapora göre, bu yaklaşım sadece tespitten kaçınma yeteneğini arttırmakla kalmaz, aynı zamanda geliştirme ve operasyon ile ilişkili maliyetleri önemli ölçüde azaltır, bu da Hpingbot’u dijital alemde zorlu ve gelişen bir tehdit haline getirir.
Yenilikçi Taktikler
HpingBot’un operasyonel stratejisi, kötü amaçlı yükleri barındırmak ve dinamik olarak güncellemek için pastebin kullandığı için, saldırganların yük dağılımlarını sık sık ayarlamasına izin verdiği için oldukça farklıdır.
Fuing laboratuvarından elde edilen verilerin izlenmesi, BOTNET’e gömülü pastebin bağlantılarının, IP adreslerini barındırmaktan ek bileşenler indirmek için komut dosyası sağlamaya kadar 2025 yılının ortasından bu yana içeriği defalarca kaydırdığını göstermektedir.
Bu esneklik, SYN, UDP ve karışık modlu seller gibi çeşitli DDOS saldırıları başlatmak için genellikle ağ teşhisleri için kullanılan çok yönlü bir komut satırı aracı olan BotNet’in HPP3’e olan güveniyle eşleştirilir.
İlginç bir şekilde, HpingBot’un Windows sürümü, çevresel sınırlamalar nedeniyle DDOS saldırıları için HPPP3’ü kullanamazken, kalıcı aktivitesi, sadece ağ kesintisinin ötesindeki niyetleri ima ederek, keyfi yüklerin indirilmesine ve yürütülmesine daha geniş bir odaklanmayı vurgular.
Botnet’in düşük DDOS talimatları, 17 Haziran’dan bu yana sadece birkaç yüz, öncelikle Almanya, Amerika Birleşik Devletleri ve Türkiye’yi hedefleyen, saldırganların sonraki kötü niyetli faaliyetler için altyapı oluşturmaya öncelik verdiğini göstermektedir.
Hızlı evrim
Pastebin içeriği, C&C sunucuları ve kurulum komut dosyalarında sık görülen güncellemelerle HPingBot’un hızlı yinelemesi, uzun vadeli operasyonel hedeflere sahip bir profesyonel gelişim ekibine işaret ediyor.
19 Haziran 2025’ten bu yana, saldırganlar, orijinal botnet’in parçalarını değiştirmek veya yük dağıtım ağını genişletmek için bir strateji gösteren HPingBot düğümleri aracılığıyla ek GO tabanlı DDOS bileşenlerini dağıttılar.
Bu bileşenlerde Alman hata ayıklama bilgilerinin varlığı, bir test aşamasında olduklarını göstermektedir, ancak saldırganların bunları canlı ortamlara yerleştirme güveni savunma önlemleri için bir saygısızlığı yansıtmaktadır.
Ayrıca, HpingBot’un bağımsız SSH yayılma modülü, SystemD, Sysvinit ve Cron üzerinden kalıcılık mekanizmaları ve iz temizleme teknikleri, tehlikeye atılan sistemler üzerinde kontrolü sürdürmek için sofistike bir yaklaşım ortaya koymaktadır.
Botnets, APT grupları ve fidye yazılımı kampanyaları için giderek daha fazla karakol görevi gördükçe, Hpingbot’un daha tehlikeli yükler dağıtma potansiyeli, sürekli uyanıklık ve izleme gerektiren kritik bir endişe kaynağı olmaya devam etmektedir.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer |
|---|---|
| IP adresi | 45.139.113.61 |
| IP adresi | 193.32.162.210 |
| Url | http://128.0.118.18 |
| Url | http://93.123.118.21 |
| Url | http://94.156.181.41 |
| Dosya karma | F33e6976e3692cb3e56a4cc9257f5aae |
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt