Kötü şöhretli Mirai botnet’in, kendisini Linux ve IoT cihazlarına yaymak için çeşitli güvenlik açıklarından yararlanan yeni bir varyantı bulundu.
2022’nin ikinci yarısında gözlemlenen yeni versiyon, V3G4 Muhtemelen aynı tehdit aktörü tarafından yürütülen üç farklı kampanyayı belirleyen Palo Alto Ağları Birimi 42 tarafından.
Unit 42 araştırmacıları, “Savunmasız cihazlar ele geçirildiğinde, saldırganlar tarafından tamamen kontrol edilecek ve botnet’in bir parçası olacaklar” dedi. “Tehdit aktörü, dağıtılmış hizmet reddi (DDoS) saldırıları gibi daha fazla saldırı gerçekleştirmek için bu cihazları kullanma yeteneğine sahiptir.”
Saldırılar, öncelikle Linux çalıştıran açıktaki sunucuları ve ağ cihazlarını belirliyor ve düşman, uzaktan kod yürütmeye (RCE) yol açabilecek 13 adede kadar kusuru silahlandırıyor.
Dikkate değer kusurlardan bazıları, diğerlerinin yanı sıra Atlassian Confluence Sunucusu ve Veri Merkezi, DrayTek Vigor yönlendiricileri, Airspan AirSpot ve Geutebruck IP kameralarındaki kritik kusurlarla ilgilidir. Listedeki en eski kusur, FreePBX’teki bir RCE hatası olan CVE-2012-4869’dur.
Başarılı bir uzlaşmanın ardından, botnet yükü, wget ve cURL yardımcı programları kullanılarak uzak bir sunucudan alınır.
Botnet, virüslü makinede çalışıp çalışmadığını kontrol etmenin yanı sıra, Mozi, Okami ve Yakuza gibi diğer rakip botnet’leri de sonlandırmak için adımlar atıyor.
V3G4 ayrıca, Telnet/SSH aracılığıyla kaba kuvvet saldırıları gerçekleştirmek ve diğer makinelere çoğaltmak için kullandığı bir dizi varsayılan veya zayıf oturum açma kimlik bilgilerini paketler.
Ayrıca, UDP, TCP ve HTTP protokolleri aracılığıyla hedeflere karşı DDoS saldırıları başlatma komutlarını beklemek için bir komut ve kontrol sunucusuyla bağlantı kurar.
Araştırmacılar, “Yukarıda belirtilen güvenlik açıkları, daha önce gözlemlenen değişkenlere göre daha az saldırı karmaşıklığına sahip, ancak bunlar, uzaktan kod yürütülmesine yol açabilecek kritik bir güvenlik etkisi sürdürüyor” dedi.
Bu tür saldırıları savuşturmak için, kullanıcıların gerekli yamaları ve güncellemeleri uygulanabilir olduklarında uygulamaları ve cihazları güçlü parolalarla güvence altına almaları önerilir.