bencede
New member
Palo Alto’daki Unit42’deki BT araştırmacıları, Mirai botnet’in türevlerini dağıtmak için Nesnelerin İnterneti güvenlik açıklarından yararlanan siber suçlular tarafından yürütülen bir kötü amaçlı yazılım kampanyasını gözlemliyor. Unit42, saldırganların daha sonra botnet’lerine ekledikleri savunmasız cihazlara tam erişime izin veren toplam 22 güvenlik açığı listeler. Dağıtılmış Hizmet Reddi (DDoS) gibi başka saldırılar başlatmak için kullanıyorlar.
Duyuru
Mart ayında, Palo Alto BT güvenlik araştırmacıları, farklı işlemci mimarilerini destekleyen çeşitli bot istemcilerini indiren ve çalıştıran bir kabuk indiricinin izini sürdü. Unit42 araştırmacıları analizlerinde çeşitli ARM, MIPS, SH4, x86, x86_64, ARC, m68k ve Sparc lehçeleri için istemciler olduğunu açıklıyor. Nisan ayında ikinci bir kampanya başladı ve aynı kabuk kodu indiricisini yeniden yükledi. Botnet’in müşterileri bile neredeyse aynıydı, bu da analistlerin kampanyanın arkasındaki beyinlerin aynı olduğunu varsaymalarına yol açtı.
Mirai Kampanyası: Yeni istismarlarla sürekli güncellenir
Adli bilişim uzmanlarına göre, her zaman yeni istismarlar ekleniyor. Bu, kötü niyetli aktörlerin giderek daha fazla yönlendiriciye saldırmasına ve onları botnet’lerinin dronlarına dönüştürmesine izin verdi.
Araştırmacılar, indirilen botnet istemcilerini analiz ederken gözlemledikleri davranış ve kalıplara dayanarak bunların Mirai botnet’in varyantları olduğuna inanıyor. Çalıştırıldığında, kötü amaçlı yazılım konsola “dinleme tun0” mesajı atar ve cihazda yalnızca bir örneğin çalışmasını sağlar. Bir botnet işlemi zaten varsa, istemci çalışan işlemi durdurur ve yeni bir işlem başlatır.
Zaman çizelgesi, mevcut Mirai kampanyasına genel bir bakış sunar.
(İmaj kredisi: Palo Alto / Unit42)
Ancak incelenen kötü amaçlı yazılım, diğer Mirai türevlerinden farklı olarak, Telnet veya SSH girişlerine kaba kuvvet saldırıları gerçekleştirme veya hizmetlerdeki güvenlik açıklarını kötüye kullanma işlevi içermiyordu. Bu nedenle, kötü amaçlı yazılım kendi kendine değil, yalnızca botnet operatörünün girişimleriyle yayılır.
Duyuru
Unit42’nin analizi, güvenlik açıklarına ve etkilenen cihazlara veya savunmasız yazılımlara ek olarak, bulaşma belirtilerini de listeler (uzlaşma göstergeleri, IOC). APsystems, Arris, D-Link, Flir, Intelbras, Mediatek, Netgear, Telesquare, Tenda, TP-Link cihazları ve Engenius Enshare, MVPower, Nagios, Nortek Linear eMerge, Solarview, Vacron veya ZeroShell gibi yazılımlar, saldırganın hedefleri arasındadır. Jenerik CCTV/DVR ürünleri de hedefler arasındadır.
Etkilenen cihazların kullanım ömürleri kısmen dolmuştur
Bahsedilen markaların cihaz ve yazılımlarının kullanıcıları, listede görünüp görünmediklerini kontrol etmeli ve mevcut güvenlik güncellemelerini yüklemelidir. Güvenlik açıkları kısmen ömürlerinin sonuna gelmiş ve bu nedenle artık boşluğu dolduran güncellemeleri almayan cihazları etkiliyor.
Üretici D-Link, etkilenen cihazların kullanım ömürlerinin veya hizmet ömrünün sonuna ulaşmış kullanıcılarının Amerika Birleşik Devletleri’nde yeni yedek cihazları indirimli bir fiyata alabileceklerini açıklayarak yanıt verdi. Şirket, D-Link cihazlarını DIR-820L, DIR-859 WiFi Router ve DNS-320 Ağa Bağlı Depolama olarak adlandırıyor. Ancak, D-Link DWL-2600AP Erişim Noktası için güncellemeler mevcuttur.
Mirai botnet’i en son geçen yılın Nisan ayında görüldü. Burada siber suçlular, cihazlara bulaşmak için Spring4Shell adlı bir güvenlik açığını kötüye kullandı.
(dmk)
Haberin Sonu
Duyuru
Mart ayında, Palo Alto BT güvenlik araştırmacıları, farklı işlemci mimarilerini destekleyen çeşitli bot istemcilerini indiren ve çalıştıran bir kabuk indiricinin izini sürdü. Unit42 araştırmacıları analizlerinde çeşitli ARM, MIPS, SH4, x86, x86_64, ARC, m68k ve Sparc lehçeleri için istemciler olduğunu açıklıyor. Nisan ayında ikinci bir kampanya başladı ve aynı kabuk kodu indiricisini yeniden yükledi. Botnet’in müşterileri bile neredeyse aynıydı, bu da analistlerin kampanyanın arkasındaki beyinlerin aynı olduğunu varsaymalarına yol açtı.
Mirai Kampanyası: Yeni istismarlarla sürekli güncellenir
Adli bilişim uzmanlarına göre, her zaman yeni istismarlar ekleniyor. Bu, kötü niyetli aktörlerin giderek daha fazla yönlendiriciye saldırmasına ve onları botnet’lerinin dronlarına dönüştürmesine izin verdi.
Araştırmacılar, indirilen botnet istemcilerini analiz ederken gözlemledikleri davranış ve kalıplara dayanarak bunların Mirai botnet’in varyantları olduğuna inanıyor. Çalıştırıldığında, kötü amaçlı yazılım konsola “dinleme tun0” mesajı atar ve cihazda yalnızca bir örneğin çalışmasını sağlar. Bir botnet işlemi zaten varsa, istemci çalışan işlemi durdurur ve yeni bir işlem başlatır.
Zaman çizelgesi, mevcut Mirai kampanyasına genel bir bakış sunar.
(İmaj kredisi: Palo Alto / Unit42)
Ancak incelenen kötü amaçlı yazılım, diğer Mirai türevlerinden farklı olarak, Telnet veya SSH girişlerine kaba kuvvet saldırıları gerçekleştirme veya hizmetlerdeki güvenlik açıklarını kötüye kullanma işlevi içermiyordu. Bu nedenle, kötü amaçlı yazılım kendi kendine değil, yalnızca botnet operatörünün girişimleriyle yayılır.
Duyuru
Unit42’nin analizi, güvenlik açıklarına ve etkilenen cihazlara veya savunmasız yazılımlara ek olarak, bulaşma belirtilerini de listeler (uzlaşma göstergeleri, IOC). APsystems, Arris, D-Link, Flir, Intelbras, Mediatek, Netgear, Telesquare, Tenda, TP-Link cihazları ve Engenius Enshare, MVPower, Nagios, Nortek Linear eMerge, Solarview, Vacron veya ZeroShell gibi yazılımlar, saldırganın hedefleri arasındadır. Jenerik CCTV/DVR ürünleri de hedefler arasındadır.
Etkilenen cihazların kullanım ömürleri kısmen dolmuştur
Bahsedilen markaların cihaz ve yazılımlarının kullanıcıları, listede görünüp görünmediklerini kontrol etmeli ve mevcut güvenlik güncellemelerini yüklemelidir. Güvenlik açıkları kısmen ömürlerinin sonuna gelmiş ve bu nedenle artık boşluğu dolduran güncellemeleri almayan cihazları etkiliyor.
Üretici D-Link, etkilenen cihazların kullanım ömürlerinin veya hizmet ömrünün sonuna ulaşmış kullanıcılarının Amerika Birleşik Devletleri’nde yeni yedek cihazları indirimli bir fiyata alabileceklerini açıklayarak yanıt verdi. Şirket, D-Link cihazlarını DIR-820L, DIR-859 WiFi Router ve DNS-320 Ağa Bağlı Depolama olarak adlandırıyor. Ancak, D-Link DWL-2600AP Erişim Noktası için güncellemeler mevcuttur.
Mirai botnet’i en son geçen yılın Nisan ayında görüldü. Burada siber suçlular, cihazlara bulaşmak için Spring4Shell adlı bir güvenlik açığını kötüye kullandı.
(dmk)
Haberin Sonu