Bir Mirai varyantının RapperBot adlı yeni bir sürümü, yaygın olarak yayılmaya çalışmak için nispeten yaygın olmayan veya önceden bilinmeyen enfeksiyon vektörlerini kullanan kötü amaçlı yazılımın en son örneğidir.
RapperBot, ilk olarak geçen yıl, Mirai kaynak kodunun büyük parçalarını içeren, ancak diğer Mirai türevlerine kıyasla bazı önemli ölçüde farklı işlevlere sahip Nesnelerin İnterneti (IoT) kötü amaçlı yazılımı olarak ortaya çıktı. Farklılıklar, komut ve kontrol (C2) iletişimleri için yeni bir protokolün kullanımını ve Mirai türevlerinde yaygın olduğu gibi Telnet hizmetleri yerine kaba kuvvet SSH sunucuları için yerleşik bir özelliği içeriyordu.
Sürekli Gelişen Tehdit
Geçen yıl kötü amaçlı yazılımı izleyen Fortinet araştırmacıları, kötü amaçlı yazılımın yazarlarının, önce virüslü makinelerde yeniden başlatma sonrasında bile kalıcılığı sürdürmek için kod ekleyerek ve ardından uzak bir ikili indirici aracılığıyla kendi kendine yayılma kodu ekleyerek kötü amaçlı yazılımı düzenli olarak değiştirdiğini gözlemledi. Daha sonra, kötü amaçlı yazılım yazarları kendi kendine yayılma özelliğini kaldırdılar ve kaba kuvvetle çalışan SSH sunucularına kalıcı uzaktan erişime izin veren bir özellik eklediler.
2022’nin dördüncü çeyreğinde Kaspersky araştırmacıları, SSH kaba kuvvet işlevinin kaldırıldığı ve telnet sunucularını hedefleme yetenekleriyle değiştirildiği, vahşi ortamda dolaşan yeni bir RapperBot varyantı keşfetti.
Kaspersky’nin kötü amaçlı yazılım analizi, güvenlik satıcısının “akıllı” olarak tanımladığı ve kaba kuvvet telnet için biraz alışılmadık bir özelliği de entegre ettiğini gösterdi. Kötü amaçlı yazılım, çok sayıda kimlik bilgisi ile kaba kuvvet uygulamak yerine, bir cihaza telnet ile bağlandığında alınan istemleri kontrol eder ve buna bağlı olarak, kaba kuvvet saldırısı için uygun kimlik bilgileri kümesini seçer. Kaspersky, bunun diğer birçok kötü amaçlı yazılım aracıyla karşılaştırıldığında kaba kuvvet sürecini önemli ölçüde hızlandırdığını söyledi.
Kaspersky’de kıdemli bir güvenlik araştırmacısı olan Jornt van der Wiel, “Bir cihaza telnet bağladığınızda, genellikle bir bilgi istemi alırsınız” diyor. İstem, RapperBot’un hedeflediği cihazı ve hangi kimlik bilgilerini kullanacağını belirlemek için kullandığı bazı bilgileri ortaya çıkarabilir, diyor.
RapperBot, hedeflenen IoT cihazına bağlı olarak farklı kimlik bilgileri kullandığını söylüyor. Van der Wiel, “Dolayısıyla, A cihazı için kullanıcı/şifre seti A’yı ve B cihazı için kullanıcı/şifre seti B’yi kullanır” diyor.
Kötü amaçlı yazılım daha sonra kendisini hedef sisteme indirmek için “wget”, “curl” ve “ftpget” gibi çeşitli olası komutları kullanır. Kaspersky’ye göre bu yöntemler işe yaramazsa, kötü amaçlı yazılım bir indirici kullanır ve kendisini cihaza yükler.
RapperBot’un kaba kuvvet süreci nispeten nadirdir ve van der Weil, yaklaşımı kullanan diğer kötü amaçlı yazılım örneklerini adlandıramayacağını söylüyor.
Yine de, vahşi ortamdaki çok sayıda kötü amaçlı yazılım örneği göz önüne alındığında, şu anda bu yaklaşımı kullanan tek kötü amaçlı yazılım olup olmadığını söylemek imkansız. Muhtemelen tekniği kullanan ilk kötü amaçlı kod parçası değil, diyor.
Yeni, Nadir Taktikler
Kaspersky, RapperBot’u yaymak için nadir ve bazen daha önce görülmemiş teknikleri kullanan kötü amaçlı yazılımlara bir örnek olarak gösterdi.
Başka bir örnek, Rusça bir siber suç forumunda hizmet olarak kötü amaçlı yazılım seçeneği altında bulunan bir bilgi hırsızı olan “Rhadamanthys”. Bilgi hırsızı, tehdit aktörlerinin kötü amaçlı reklamlar yoluyla dağıtmaya başladığı, sayısı giderek artan kötü amaçlı yazılım ailelerinden biridir.
Taktik, saldırganların kötü amaçlı yazılım yüklü reklamlar veya çevrimiçi reklam platformlarında kimlik avı sitelerine bağlantılar içeren reklamlar yerleştirmesini içerir. Reklamlar genellikle yasal yazılım ürünleri ve uygulamaları içindir ve arama motoru sonuçlarında veya kullanıcılar belirli web sitelerinde gezinirken üst sıralarda görünmelerini sağlayan anahtar kelimeler içerir. Son aylarda tehdit aktörleri, LastPass, Bitwarden ve 1Password gibi yaygın olarak kullanılan parola yöneticilerinin kullanıcılarını hedeflemek için bu tür sözde kötü amaçlı reklamları kullandı.
Tehdit aktörlerinin kötü amaçlı reklamcılık dolandırıcılıklarında elde ettiği artan başarı, tekniğin kullanımında bir artışı teşvik ediyor. Örneğin, Rhadamanthys’in yazarları, ilk bulaşıcı vektör olarak kötü amaçlı reklamlara geçmeden önce başlangıçta kimlik avı ve spam e-postaları kullandılar.
Van der Weil, “Rhadamanthys, kötü amaçlı reklam kullanan diğer kampanyalardan farklı bir şey yapmıyor” diyor. “Ancak, kötü amaçlı reklamcılığın daha popüler hale geldiğini gördüğümüz bir trendin parçası.”
Kaspersky’nin tespit ettiği bir diğer trend ise, daha az beceriye sahip siber suçlular arasında artan açık kaynaklı kötü amaçlı yazılım kullanımı.
GitHub’da bulunan madeni para madenciliği kötü amaçlı yazılımları için indirici olan CueMiner’ı ele alalım. Kaspersky araştırmacıları, saldırganların, BitTorrent veya OneDrive paylaşım ağlarından indirilen crackli uygulamaların Truva atı haline getirilmiş sürümlerini kullanarak kötü amaçlı yazılımı dağıttığını gözlemledi.
Van der Weil, “Açık kaynak yapısı nedeniyle herkes onu indirebilir ve derleyebilir,” diye açıklıyor. “Bu kullanıcılar genellikle çok gelişmiş siber suçlular olmadıklarından, BitTorrent ve OneDrive gibi nispeten basit bulaşma mekanizmalarına güvenmek zorundalar.”