2024’ün sonlarından bu yana Japonya’yı ve diğer ülkeleri hedef alan bir IoT botnet’in C&C sunucusundan gönderilen büyük ölçekli DDoS saldırı komutları.
Bu komutlar, aralarında büyük Japon şirketleri ve bankalarının da bulunduğu çeşitli şirketleri hedef alıyordu.
Doğrudan bir bağlantı doğrulanamasa da, hedeflenen bazı kuruluşlar, bu dönemde gözlemlenen saldırı komutlarıyla çakışan geçici bağlantı ve ağ kesintileri bildirdi.
IoT Botnet’lerinden Ortaya Çıkan Tehditler Japonya’ya Odaklanıyor
Bu Mirai/Bashlite tabanlı botnet, IoT cihazlarına bulaşmak için RCE’nin güvenlik açıklarından veya zayıf şifrelerden yararlanıyor. Bulaşma aşamaları, bir dağıtım sunucusundan yürütülebilir bir yükleyiciyi getiren bir komut dosyasının indirilmesini içerir.
Bundan sonra yükleyici, gerçek kötü amaçlı yazılım yükünü sunucudan başarılı bir şekilde almak için özel bir Kullanıcı Aracısı başlığını kullanır ve ardından bunu bellekte çalıştırır.
Kötü amaçlı yazılım, DDoS saldırılarını (SYN Flood, TCP ACK Flood, UDP Flood, vb.) başlatmak veya cihazı bir proxy sunucusuna dönüştürmek için komutlar vermek üzere C&C sunucusuyla iletişim kurar.
Çeşitli kaçınma teknikleri kullanır ve geçmiş Mirai botnet davranışını yansıtarak DDoS saldırıları sırasında yüksek yüklerin tetiklediği sistem yeniden başlatmalarını engelleyen gözlemci zamanlayıcısını devre dışı bırakır.
Ayrıca enfeksiyon tespitini ve DDoS saldırısı görünürlüğünü engellemek için iptables kurallarını da yönetir. WAN tarafı TCP bağlantılarını engelleyerek, dahili yönetim erişimini korurken çapraz bulaşmayı önlemeyi amaçlar.
Kötü amaçlı yazılım, dinamik olarak yapılandırılmış iptables kurallarını kullanarak dış dünyadan UDP paketlerini alabiliyor ve faaliyetlerini gizleyerek TCP RST paketlerini bastırabiliyor.
27 Aralık 2024 ile 4 Ocak 2025 arasında gözlemlenen DDoS saldırıları, Amerika Birleşik Devletleri, Bahreyn ve Polonya’da yoğunlaşmak üzere Kuzey Amerika, Avrupa ve Asya’daki kuruluşları hedef aldı.
Trend Micro analizi, hedef bölgeye bağlı olarak farklı komut modellerini ortaya çıkardı. Japon hedeflerine yönelik saldırılarda sıklıkla “stomp” komutu kullanılırken, uluslararası hedeflerde “gre” daha yaygındı.
Ulaştırma, bilgi ve iletişim ile finans ve sigorta sektörlerini hedef alırken, uluslararası saldırılar öncelikli olarak bilgi ve iletişim ile finans ve sigorta sektörlerine odaklandı; ulaştırma sektörünü hedef alan saldırıların kayda değer bir şekilde yokluğu görüldü.
Bu saldırıların arkasındaki aktör, ilk savunmalar uygulamaya konduktan sonra Japon kuruluşlara karşı uyum sağlama yeteneği gösterdi ve “soket” ve “el sıkışma” gibi yeni komutları test etti.
Bir botnet analizi, başta TP-Link ve Zyxel gibi satıcıların kablosuz yönlendiricileri (%80) olmak üzere güvenliği ihlal edilmiş 348 cihazı ortaya çıkardı; özellikle Hikvision’un IP kameraları da önemli ölçüde katkıda bulundu.
Bunların kötüye kullanılmasına katkıda bulunan faktörler arasında, varsayılan ayarların kalıcı olması, güncelliğini yitirmiş donanım yazılımı ve saldırganların bu aygıtların güvenliğini kolayca aşmasına ve bunları DDoS saldırıları ve ağa izinsiz girişler gibi kötü amaçlı faaliyetler için kullanmasına olanak tanıyan yetersiz güvenlik özellikleri yer alıyor.
DDoS Saldırılarına ve IoT Zafiyetlerine Karşı Azaltma Stratejileri
Botnet enfeksiyonlarını ve DDoS saldırılarını azaltmak için sağlam güvenlik önlemleri uygulayın. Varsayılan kimlik bilgilerini değiştirerek, ürün yazılımını düzenli olarak güncelleyerek ve IoT ağlarını bölümlere ayırarak IoT cihazlarını koruyun.
Uzaktan erişimi kısıtlayın, cihazları etkili bir şekilde yönetin ve anormallikler açısından ağ trafiğini izleyin.
Belirli IP adreslerini ve protokollerini engelleyerek, hizmet sağlayıcılarla işbirliği yaparak ve yönlendirici donanımını güçlendirerek UDP taşkınlarını azaltın.
Investigate Real-World Malicious Links & Phishing Attacks With ANY.RUN Malware Sandbox - Try 14 Days Free Trial