Bu makale, Mirai’nin kötü amaçlı yazılım çeşidi olan Murdoc_Botnet’in savunmasız AVTECH ve Huawei cihazlarını hedef alan son kampanyasını incelemektedir. Qualys Tehdit Araştırma ekibi, devam eden bu kampanyayı Temmuz 2024’te keşfetti.
Qualys Tehdit Araştırma Birimi, Mirai botnet’i için Temmuz 2024’te başlayan ve Murdoc_Botnet adında yeni bir botnet dağıtan canlı bir kampanya keşfetti. Bu, AVTECH Kameraları ve Huawei HG532 yönlendiricilerini hedef alan güvenlik açıklarından yararlanan, Mirai kampanyası kapsamındaki büyük ölçekli bir operasyondur.
Saldırganlar, Murdoc_Botnet botnet örneğini dağıtmak için ELF ve kabuk komut dosyası yürütmeyi kullandı. Bu teknik, sonraki aşamadaki yükleri indirmek için mevcut güvenlik açıklarından (CVE-2024-7029, CVE-2017-17215) yararlanır. Araştırma, DDOS etkinlikleri için kullanılan Murdoc_Botnet ikili dosyalarının keşfi ve analiziyle başladı. Qualys EDR’yi, tehdit istihbaratı verilerini ve açık kaynak istihbaratını (OSINT) kullanan araştırmacılar, Murdoc_Botnet’i bir Mirai varyantı olarak ilişkilendirmeyi başardılar.
Araştırmacılar, her biri etkinliklerinin şifresini çözmek ve güvenliği ihlal edilmiş IP’ler/sunucularla iletişim kurmakla görevli yaklaşık 1300’den fazla aktif IP ve 100’den fazla farklı sunucu keşfetti. Bu sunucular Mirai kötü amaçlı yazılımlarının dağıtımını kolaylaştırdı. Bu sunucular Mirai kötü amaçlı yazılımının dağıtımında rol oynadı.
Daha ileri analizler, virüslü cihazlarla iletişim kurmakla görevli 100’den fazla komuta ve kontrol sunucusunun varlığını ortaya çıkardı. Bu sunucular aynı zamanda Mirai kötü amaçlı yazılımlarının dağıtımını da kolaylaştırdı.
Qualys Threat Research’ün yayınlanmadan önce Hackread.com ile özel olarak paylaştığı teknik blog gönderisine göre Murdoc_Botnet *nix sistemlerini, özellikle de savunmasız AVTECH ve Huawei cihazlarını hedef alıyor. Kötü amaçlı yazılım öncelikle, yükleri almak, chmod kullanarak onlara yürütme izni vermek ve ardından bunları yürütüp kaldırmak için GTFOBins’den yararlanan bash komut dosyalarını kullanıyor.
Üstelik mevcut açıklardan yararlanarak sonraki aşamadaki yükleri getirir. Bulaşma süreci, kabuk komut dosyalarını indirmek için güvenlik açıklarından yararlanmayı içerir. Bu komut dosyaları daha sonra ele geçirilen cihazlarda yürütülür ve bu cihazlar da Mirai botnet’in (Murdoc_Botnet) yeni versiyonunu indirir.
Bu kampanyadan en çok etkilenen ülkeler Malezya, Tayland, Meksika ve Endonezya olarak belirlendi. Murdoc_Botnet saldırılarına karşı korunmak için kuruluşların şüpheli süreçleri izlemesi, güvenilmeyen kaynaklardan gelen kabuk komut dosyalarını çalıştırmaktan kaçınması ve sistemleri ve donanım yazılımını en son yamalarla güncel tutması gerekir. Bu önlemler Murdoc_Botnet ve Mirai varyantlarından enfeksiyon riskini önemli ölçüde azaltabilir.
İLGİLİ KONULAR
- Azure OMIGOD güvenlik açıklarından yararlanan Mirai botnet
- Mirai Benzeri Botnet, Avrupa’daki Zyxel NAS Cihazlarını Hedefliyor
- Mirai’den Esinlenen Gorilla Botnet 100 Ülkedeki Cihazlara Ulaştı
- Androxgh0st Botnet, IoT Cihazlarına 27 Güvenlik Açığını Etkiliyor
- Minik Mantis Mirai’den Daha Güçlü DDoS Saldırıları Başlatıyor