Botnet, bilgisayarlar ve IoT cihazları gibi tehlikeye atılmış cihazların, kötü amaçlı yazılımlarla enfekte edilmiş ve “bot çobanı” olarak bilinen merkezi bir varlık tarafından kontrol edilen bir ağıdır.
Bu tür enfekte cihazlara genellikle “bot” adı verilir ve bunlar çeşitli kötü amaçlı faaliyetleri yürütmek için kullanılabilir.
Black Lotus Labs araştırmacıları yakın zamanda dünya çapında 200.000’den fazla cihazı hackleyen yeni bir “Raptor Train” botnet’i keşfetti.
Yeni Raptor Tren Botnet’i
“Raptor Train”, 2020’den bu yana 200.000’den fazla SOHO yönlendiricisini, NVR/DVR cihazını, NAS sunucusunu ve IP kamerasını hedef alan, Çin devlet destekli gelişmiş bir botnet’tir.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz katılın
Bu çok katmanlı ağ, “Flax Typhoon” tehdit grubuna atfediliyor ve birincil implantı olarak “Nosedive” adı verilen özel bir “Mirai” varyantını kullandığı tespit edildi.
Botnet üç katmanlı bir yapı üzerinden yönetiliyor ve aşağıda bunlardan bahsettik:
- 1. Kademe, tehlikeye atılmış cihazlardan oluşur.
- 2. Kademe; istismar, yük ve komuta ve kontrol (C2) sunucularını içerir.
- 3. Kademe ev yönetim düğümleri.
Bu botnet’in operatörleri, ‘Node.js’ arka ucu ve ‘Node Kapsamlı Kontrol Aracı’ (NCCT) adı verilen Electron tabanlı bir ön ucu içeren ‘Sparrow’ adı verilen gelişmiş bir kontrol sistemi kullanıyor.
Bu sistem, geniş çaplı istismara, zafiyet yönetimine, uzaktan komut yürütmeye ve potansiyel dağıtılmış hizmet reddi (DDoS) yeteneklerine olanak tanır.
Raptor Train, askeriye, hükümet, eğitim ve telekomünikasyon gibi kritik sektörlerdeki ABD ve Tayvan kuruluşlarını hedef aldı.
Bunun yanı sıra botnet, yalnızca bellekte yürütme ve adli bilişim karşıtı yöntemler gibi çeşitli kaçınma teknikleri kullanıyor ve bu da güvenlik araştırmacılarının tespit etmesini zorlaştırıyor.
Haziran 2023’te araştırmacılar bu botnetin zirvede olduğunu, 60.000’den fazla aktif cihazı kontrol ettiğini ve ele geçirilen cihazların ortalama ömrünün 17 gün olduğunu ortaya çıkardılar.
Raptor Train botnet’i “Crossbill”, “Finch”, “Canary” ve “Oriole” adlı dört kampanya boyunca gelişti.
Bunun dışında botnet, ‘kodlanmış alfanümerik alt alanlar’ (wsxe.k3121) gibi çeşitli taktikler kullanır.[. ]com),’ ‘çok aşamalı damlalıklar’ ve ‘bellek içi kalıcılık’.
Atlassian Confluence sunucularındaki ve Ivanti Connect Secure cihazlarındaki güvenlik açıklarından yararlanarak “ActionTec PK5000 modemler”, “Hikvision IP kameralar” ve “ASUS yönlendiriciler” gibi belirli cihazları hedef alıyor (CVE-2024-21887).
Raptor Train, öncelikli olarak ABD ve Tayvan’daki askeri, hükümet, eğitim ve teknoloji sektörlerini hedef alarak kapsamlı tarama ve istismar girişimleri yürütüyor.
Botnet’in önemi, Cisco Umbrella alan adı sıralamalarında ve Cloudflare Radar’ın en iyi 1 milyon alan adına dahil edilmesinden anlaşılıyor ve bu sayede “alan adı beyaz listeleme” yoluyla güvenlik önlemlerinden kaçınabiliyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Ağ savunucuları, yerel olarak bile olsa büyük veri transferlerine karşı dikkatli olmalıdır.
- Kuruluşlar daha iyi güvenlik için SASE veya benzerini kullanmalıdır.
- SOHO kullanıcılarının yönlendiricilerini yeniden başlatmaları, güncellemeleri ve EDR kullanmaları önerilir.
- Ekipman kullanıcıları risklerden kaçınmak için “kullanım ömrü dolan” cihazları değiştirmelidir.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial