Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
Murdoc Botnet, Etkilenen Cihazları Yönetmek İçin 100’den Fazla Farklı C2 Sunucusu Kullanıyor
Prajeet Nair (@prajeetspeaks) •
21 Ocak 2025
Mirai kötü amaçlı yazılımının yeni bir çeşidi, cihazlara sızmak, yükleri indirmek ve bunları genişleyen bir botnet’e entegre etmek için kameralar ve yönlendiricilerdeki güvenlik açıklarından yararlanıyor.
Ayrıca bakınız: Gartner Raporu | SD-WAN için Magic Quadrant
Qualys Tehdit Araştırma Birimi, Murdoc Botnet adı verilen ve CVE-2024-7029 ve CVE-2017-17215 dahil olmak üzere bilinen güvenlik açıklarından yararlanarak AVTECH kameraları ve Huawei HG532 yönlendirici kullanıcılarını hedef alan “büyük ölçekli, devam eden bir operasyonu” ortaya çıkardı. .
Kötü amaçlı yazılım, geliştirilmiş kabuk komut dosyalarını ve ELF dosyalarını kullanır. Güvenliği ihlal edilen cihazlar bir komuta ve kontrol ağıyla iletişim kurarak saldırganların dağıtılmış hizmet reddi saldırıları düzenlemesine olanak tanır.
Qualys, Murdoc’un ortaya çıktığı Temmuz 2024’ten bu yana 1.300’den fazla aktif internet protokolü adresini takip etti. Botnet’in ana hedefleri arasında tüketici ve küçük ve orta ölçekli işletmeler için kullanılan Nesnelerin İnterneti cihazları yer alıyor.
AVTECH, video güvenliği için yaygın olarak kullanılan ağ kameraları ve DVR’ler de dahil olmak üzere gözetim sistemleri üretmesiyle tanınan Tayvanlı bir üreticidir. Ürünleri genellikle küçük işletmelerde, konut kurulumlarında, perakende satış mağazalarında ve kamu tesislerinde kullanılmaktadır.
Censys, Eylül 2024’te 37.995 açıkta kalan AVTECH kamerasını ve CVE-2024-7029 güvenlik açığını hedef alan başka bir botnet operatörünü gözlemledi. Botnet, Murdoc’un da bir varyantı olduğu Mirai Corona varyantıydı.
Güvenlik açığı, CGI komut dosyasındaki parlaklık işlevi aracılığıyla komut enjeksiyonuna olanak sağladı. /cgi-bin/supervisor/Factory.cgidedi Censys.
Murdoc saldırganları, yükleri indirmek ve yürütmek için yerleşik Base64 komutlarını kullanıyor. Bu yöntem enfeksiyonu kolaylaştırır ve aynı zamanda izlerin ortadan kaldırılmasını sağlayarak tespit ve hafifletme çabalarını karmaşık hale getirir.
Diğer güvenlik açığı olan CVE-2017-17215, kimliği doğrulanmış bir saldırganın saldırı başlatmak için 37215 numaralı bağlantı noktasına kötü amaçlı paketler göndermesine olanak tanıyan, 2017’den kalma bir uzaktan kod yürütme güvenlik açığıdır. Başarılı istismarlar, rastgele kodun uzaktan yürütülmesine yol açabilir.
Huawei HG532, öncelikle ev internet bağlantıları için kullanılan, tüketici sınıfı bir geniş bant yönlendiricisidir. Bu yönlendiriciler genellikle internet servis sağlayıcıları tarafından hizmet paketlerinin bir parçası olarak dağıtılır. Uygun fiyatlı olmaları ve ADSL2+ geniş bant hizmetlerine destek vermeleri nedeniyle Asya, Afrika ve Avrupa’nın bazı bölgelerinde popülerdirler.
Kampanya, virüslü cihazları yönetmek ve kötü amaçlı yazılımları dağıtmak için 100’den fazla farklı C2 sunucusu kullanıyor. Veri yükleriyle bütünleşik olan bu sunucular, saldırganların kalıcı bir varlık sürdürmesine ve büyük ölçekli operasyonlar yürütmesine olanak tanır.
Araştırmacılar, her biri güncelliğini yitirmiş aygıt yazılımlarından ve zayıf güvenlik protokollerinden yararlanan gelişmiş enfeksiyon mekanizmaları gösteren 500’den fazla kötü amaçlı yazılım örneği belirledi.
Murdoc Botnet’in küresel kurban listesi Malezya, Tayland, Meksika ve Endonezya’da bulunan cihazları içeriyor.