Gizli Saldırılar için Cisco, DrayTek ve Fortinet Cihazlarını Hedefleyen Yeni KV-Botnet
Cisco, DrayTek, Fortinet ve NETGEAR'ın güvenlik duvarları ve yönlendiricilerinden oluşan yeni bir botnet, Volt Typhoon adlı Çin bağlantılı tehdit aktörü de dahil olmak üzere gelişmiş kalıcı tehdit aktörleri için gizli bir veri aktarım ağı olarak kullanılıyor.
Lumen Technologies'deki Black Lotus Labs ekibi tarafından KV-botnet olarak adlandırılan kötü amaçlı ağ, en az Şubat 2022'den beri aktif olan iki tamamlayıcı etkinlik kümesinin birleşimidir.
Şirket, "Kampanya, son yıllarda uzaktan çalışmaya geçişle birleşen birçok işletmenin savunma dizisinde zayıf bir nokta olarak ortaya çıkan bir segment olan ağların ucundaki cihazlara bulaşıyor" dedi.
Kod adı KV ve JDY olan iki kümenin farklı olduğu, ancak yüksek profilli kurbanlara erişimi kolaylaştırmak ve gizli altyapı oluşturmak için birlikte çalıştığı söyleniyor. Telemetri verileri, botnet'in Çin merkezli IP adreslerinden yönetildiğini gösteriyor.
JDY'nin botlar kısmı daha az karmaşık teknikler kullanarak daha geniş tarama yaparken, büyük ölçüde modası geçmiş ve kullanım ömrü sona ermiş ürünleri içeren KY bileşeninin, eski tarafından seçilen yüksek profilli hedeflere karşı manuel işlemler için ayrıldığı değerlendirilmektedir.
Volt Typhoon'un KV-botnet'in en az bir kullanıcısı olduğundan şüpheleniliyor ve operasyonel altyapılarının bir alt kümesini kapsıyor, bu da Haziran ve Temmuz 2023'ün başlarında operasyonlardaki gözle görülür düşüşle kanıtlanıyor ve bu da düşman kolektifin ABD'deki kritik altyapıyı hedef almasının kamuya açıklanmasıyla aynı zamana denk geliyor.
Tehdit aktörünün taktiklerini ilk kez ortaya çıkaran Microsoft, "trafiği yönlendiriciler, güvenlik duvarları ve VPN donanımı dahil olmak üzere güvenliği ihlal edilmiş küçük ofis ve ev ofis (SOHO) ağ ekipmanı üzerinden yönlendirerek normal ağ etkinliğine uyum sağlamaya çalıştığını" söyledi.
Cihazları ihlal etmek için kullanılan ilk bulaşma mekanizması süreci şu anda tam olarak bilinmemektedir. Bunu, bu makinelerde "tek varlık" olduğundan emin olmak için güvenlik programlarını ve diğer kötü amaçlı yazılım türlerini kaldırmak için adımlar atan birinci aşama kötü amaçlı yazılım izler.
Ayrıca, aynı sunucuya geri dönmenin yanı sıra dosya yükleme ve indirme, komut çalıştırma ve ek modüller yürütme yeteneğine sahip olan uzak bir sunucudan ana yükü almak için tasarlanmıştır.
Geçtiğimiz ay boyunca, botnet'in altyapısı, operatörlerin yeni bir saldırı dalgası için hazırlanabileceğini gösteren Axis IP kameralarını hedef alan bir makyaj aldı.
Araştırmacılar, "Bu kampanyanın oldukça ilginç yönlerinden biri, tüm araçların tamamen bellekte yer alıyor gibi görünmesi" dedi. "Bu, uzun vadeli kalıcılık pahasına tespiti son derece zorlaştırıyor."
"Kötü amaçlı yazılım tamamen bellekte bulunduğundan, son kullanıcı cihazı kapatıp açarak bulaşmayı durdurabilir. Bu, yakın tehdidi ortadan kaldırırken, yeniden enfeksiyon düzenli olarak gerçekleşiyor."
Bulgular, Washington Post'un ABD'deki iki düzine kritik kuruluşa, elektrik ve su hizmetlerinin yanı sıra iletişim ve ulaşım sistemleri de dahil olmak üzere geçen yıl Volt Typhoon tarafından sızıldığını bildirdiği sırada geldi.
Raporda, "Bilgisayar korsanları genellikle saldırılarını kurbanlarına ulaşmadan önce ev veya ofis yönlendiricileri gibi zararsız cihazlar aracılığıyla geçirerek izlerini gizlemeye çalıştılar" diye ekledi.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi