Mirai Tabanlı Botnet, Büyük DDoS Saldırıları için Yönlendiricilerdeki ve NVR'lerdeki Sıfır Gün Hatalarından Yararlanıyor

Etkin bir kötü amaçlı yazılım kampanyası, yönlendiricileri ve video kaydedicileri Mirai tabanlı dağıtılmış hizmet reddi (DDoS) botnet'ine bağlamak için uzaktan kod yürütme (RCE) işlevine sahip iki sıfır gün güvenlik açığından yararlanıyor.

Akamai, bu hafta yayınlanan bir danışma belgesinde, "Yük, varsayılan yönetici kimlik bilgilerine sahip yönlendiricileri ve ağ video kaydedici (NVR) cihazlarını hedefliyor ve başarılı olduğunda Mirai varyantlarını yüklüyor" dedi.

Kusurların ayrıntıları, iki satıcının yamalar yayınlamasına ve diğer tehdit aktörlerinin bunları kötüye kullanmasını önlemesine izin vermek için şu anda gizli tutuluyor. Güvenlik açıklarından biri için düzeltmelerin önümüzdeki ay gönderilmesi bekleniyor.

Saldırılar ilk olarak web altyapısı ve güvenlik şirketi tarafından Ekim 2023'ün sonlarında balküplerine karşı keşfedildi. Saldırıların failleri henüz tespit edilemedi.

Komuta ve kontrol (C2) sunucularında ve sabit kodlanmış dizelerde ırkçı ve saldırgan dil kullanımı nedeniyle InfectedSlurs kod adı verilen botnet, Ocak 2018'de ortaya çıkan bir JenX Mirai kötü amaçlı yazılım çeşididir.

Akamai, NSFOCUS'un yakın tarihli bir analizine göre, Eylül 2023'te ortaya çıkan hailBot Mirai varyantıyla bağlantılı görünen ek kötü amaçlı yazılım örnekleri de belirlediğini söyledi.

Pekin merkezli siber güvenlik firması, "HailBot, Mirai kaynak koduna dayalı olarak geliştirildi ve adı, çalıştırıldıktan sonra 'hail china mainland' çıktısı dize bilgisinden türetildi" dedi ve güvenlik açığından yararlanma ve zayıf şifreler yoluyla yayılma yeteneğini detaylandırdı.

Geliştirme, Akamai'nin VirusTotal ve SecurityTrails gibi meşru araçlarla entegre olan ve oturum açma arayüzünü bir 404 hata sayfasının arkasına gizlice gizleyen WSO'nun ("oRb tarafından web kabuğu" nun kısaltması) "gelişmiş bir yinelemesi" olan wso-ng adlı bir web kabuğunu detaylandırmasıyla ortaya çıktı.

Web kabuğunun dikkate değer keşif özelliklerinden biri, sonraki yanal hareket için AWS meta verilerinin alınmasının yanı sıra hassas uygulama verilerine yetkisiz erişim elde etmek için olası Redis veritabanı bağlantılarının aranmasını içerir.

Microsoft, 2021'de yaptığı açıklamada, "Web kabukları, saldırganların veri çalmak için sunucularda komutlar çalıştırmasına veya sunucuyu kimlik bilgisi hırsızlığı, yanal hareket, ek yüklerin dağıtımı veya uygulamalı klavye etkinliği gibi diğer etkinlikler için bir fırlatma rampası olarak kullanmasına izin verirken, saldırganların etkilenen bir kuruluşta devam etmesine izin veriyor" dedi.

Kullanıma hazır web kabuklarının kullanımı, tehdit aktörlerinin ilişkilendirme çabalarına meydan okuma ve istihbarat toplama konusunda uzmanlaşmış siber casusluk gruplarının önemli bir özelliği olan radarın altında uçma girişimi olarak da görülüyor.

Saldırganlar tarafından benimsenen diğer bir yaygın taktik, güvenliği ihlal edilmiş ancak meşru etki alanlarının C2 amaçları ve kötü amaçlı yazılım dağıtımı için kullanılmasıdır.

Ağustos 2023'te Infoblox, ziyaretçileri koşullu olarak aracı C2 ve sözlük alan adı oluşturma algoritması (DDGA) alan adlarına yönlendiren, güvenliği ihlal edilmiş WordPress web sitelerini içeren yaygın bir saldırıyı ifşa etti. Etkinlik, VexTrio adlı bir tehdit aktörüne atfedildi.