Gizli Saldırılar için Cisco, DrayTek ve Fortinet Cihazlarını Hedefleyen Yeni KV-Botnet

Lumen Technologies'deki Black Lotus Labs ekibi tarafından KV-botnet olarak adlandırılan kötü amaçlı ağ, en az Şubat 2022'den beri aktif olan iki tamamlayıcı etkinlik kümesinin birleşimidir.

Şirket, "Kampanya, son yıllarda uzaktan çalışmaya geçişle birleşen birçok işletmenin savunma dizisinde zayıf bir nokta olarak ortaya çıkan bir segment olan ağların ucundaki cihazlara bulaşıyor" dedi.

Kod adı KV ve JDY olan iki kümenin farklı olduğu, ancak yüksek profilli kurbanlara erişimi kolaylaştırmak ve gizli altyapı oluşturmak için birlikte çalıştığı söyleniyor. Telemetri verileri, botnet'in Çin merkezli IP adreslerinden yönetildiğini gösteriyor.

JDY'nin botlar kısmı daha az karmaşık teknikler kullanarak daha geniş tarama yaparken, büyük ölçüde modası geçmiş ve kullanım ömrü sona ermiş ürünleri içeren KY bileşeninin, eski tarafından seçilen yüksek profilli hedeflere karşı manuel işlemler için ayrıldığı değerlendirilmektedir.

Volt Typhoon'un KV-botnet'in en az bir kullanıcısı olduğundan şüpheleniliyor ve operasyonel altyapılarının bir alt kümesini kapsıyor, bu da Haziran ve Temmuz 2023'ün başlarında operasyonlardaki gözle görülür düşüşle kanıtlanıyor ve bu da düşman kolektifin ABD'deki kritik altyapıyı hedef almasının kamuya açıklanmasıyla aynı zamana denk geliyor.

Tehdit aktörünün taktiklerini ilk kez ortaya çıkaran Microsoft, "trafiği yönlendiriciler, güvenlik duvarları ve VPN donanımı dahil olmak üzere güvenliği ihlal edilmiş küçük ofis ve ev ofis (SOHO) ağ ekipmanı üzerinden yönlendirerek normal ağ etkinliğine uyum sağlamaya çalıştığını" söyledi.

Cihazları ihlal etmek için kullanılan ilk bulaşma mekanizması süreci şu anda tam olarak bilinmemektedir. Bunu, bu makinelerde "tek varlık" olduğundan emin olmak için güvenlik programlarını ve diğer kötü amaçlı yazılım türlerini kaldırmak için adımlar atan birinci aşama kötü amaçlı yazılım izler.

Ayrıca, aynı sunucuya geri dönmenin yanı sıra dosya yükleme ve indirme, komut çalıştırma ve ek modüller yürütme yeteneğine sahip olan uzak bir sunucudan ana yükü almak için tasarlanmıştır.

Geçtiğimiz ay boyunca, botnet'in altyapısı, operatörlerin yeni bir saldırı dalgası için hazırlanabileceğini gösteren Axis IP kameralarını hedef alan bir makyaj aldı.

Araştırmacılar, "Bu kampanyanın oldukça ilginç yönlerinden biri, tüm araçların tamamen bellekte yer alıyor gibi görünmesi" dedi. "Bu, uzun vadeli kalıcılık pahasına tespiti son derece zorlaştırıyor."

"Kötü amaçlı yazılım tamamen bellekte bulunduğundan, son kullanıcı cihazı kapatıp açarak bulaşmayı durdurabilir. Bu, yakın tehdidi ortadan kaldırırken, yeniden enfeksiyon düzenli olarak gerçekleşiyor."

Bulgular, Washington Post'un ABD'deki iki düzine kritik kuruluşa, elektrik ve su hizmetlerinin yanı sıra iletişim ve ulaşım sistemleri de dahil olmak üzere geçen yıl Volt Typhoon tarafından sızıldığını bildirdiği sırada geldi.

Raporda, "Bilgisayar korsanları genellikle saldırılarını kurbanlarına ulaşmadan önce ev veya ofis yönlendiricileri gibi zararsız cihazlar aracılığıyla geçirerek izlerini gizlemeye çalıştılar" diye ekledi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği