Mirai tabanlı solucan RapperBot, IoT cihazlarını hedef alıyor
– 2022’nin 4. çeyreğinde RapperBot bulaşma girişimleri, 2 binden fazla benzersiz IP adresi üzerinden 112 binden fazla kullanıcıyı hedef aldı
İSTANBUL (AA) – Kaspersky, son Securelist blog yazısında saldırganlar tarafından kullanılan ve yaygın olmayan bulaşma yöntemlerini mercek altına aldı.
Kaspersky'dan yapılan açıklamaya göre, RapperBot, ilk olarak Haziran 2022'de verileri düz metin olarak aktaran Telnet hizmetleri yerine, kurulan şifreli iletişim sayesinde dosya aktarmanın güvenli bir yolu olarak kabul edilen Secure Shell Protokolü'nü (SSH) hedef almasıyla dikkati çekmişti.
Ancak RapperBot'un son sürümü, SSH işlevselliğini kaldırarak yalnızca Telnet'e odaklanmaya başladı ve bunda da oldukça başarılı. 2022 yılının 4. çeyreğinde, RapperBot bulaşma girişimleri, 2 binden fazla benzersiz IP adresi üzerinden 112 binden fazla kullanıcıyı hedef aldı.
RapperBot'u diğer solucanlardan ayıran şey “akıllı kaba kuvvet” kullanması. Yani tehdit komut istemcisini kontrol ediyor ve buna uygun olacağını düşünülen kimlik bilgilerini seçiyor. Bu yöntem, büyük bir kimlik bilgileri listesini gözden geçirme ihtiyacını ortadan kaldırdığı için kaba kuvvetle şifre zorlama sürecini önemli ölçüde hızlandırıyor. Aralık 2022'de RapperBot'un en fazla sayıda cihaza bulaştığı ilk 3 ülke; Tayvan, Güney Kore ve ABD olarak belirlendi.
Kaspersky'nin blog yazısında yer alan bir diğer yeni kötü amaçlı yazılım ailesi, ilk olarak 2021'de Github'da ortaya çıkan açık kaynaklı bir kötü amaçlı yazılıma dayanan CUEMiner oldu. En son sürümü Ekim 2022'de keşfedilen CUEMiner, madencinin kendisini ve “izleyici” olarak adlandırılan bir yazılımı içeriyor. Bu program, kurbanın bilgisayarında video oyunu gibi ağır yük gerektiren bir işlem başlatıldığında sistemi izlemeye alıyor.
Kaspersky, CUEMiner'i araştırırken zararlı yazılımın iki yöntemle yayıldığını tespit etti. Bunlardan ilki, BitTorrent üzerinden indirilen ve Truva atı içeren kırık yazılımlar. Diğer yöntem ise OneDrive paylaşım ağlarından indirilen Truva atı içeren kırık yazılımlar. Yayının yayınlandığı sırada doğrudan bağlantılar henüz mevcut olmadığından kurbanların bu kırılmış paketleri indirmeye nasıl ikna edildiği konusu belirsizliğini koruyor.
Bununla birlikte bugünlerde birçok korsan sitesi, hemen indirme sağlamıyor. Bunun yerine daha fazla bilgi için Discord sunucu kanallarına yönlendirme yapıyorlar. Bu da arada bir tür insan etkileşimi ve sosyal mühendislik olduğuna dair şüpheleri güçlendiriyor.
Bu tür “açık kaynaklı” kötü amaçlı yazılımlar, amatör ya da vasıfsız siber suçlular arasında oldukça popüler. Çünkü büyük kampanyaların kolayca yürütülmesine olanak tanıyor. CUEMiner kurbanları şu anda dünyanın her yerinde görülebiliyor, hatta bazıları kurumsal ağlarda yer alıyor. KSN telemetrisine göre en fazla sayıda kurban Brezilya, Hindistan ve Türkiye'de bulunuyor.
Son olarak Kaspersky blog yazısında, Google reklamcılığını kötü amaçlı yazılım dağıtma ve sunma aracı olarak kullanan bir diğer bilgi hırsızı olan Rhadamanthys hakkındaki yeni bulgulara yer verildi. Detaylar, Mart 2023'te Securelist'te yer aldıktan sonra Rhadamanthys'in doğrudan kripto para madenciliğini hedefleyen Hidden Bee madencisiyle güçlü bir bağlantısı olduğu ortaya çıktı. Her iki örnek de zararlı yükü görsel dosyalarının içinde saklıyor ve ön yükleme sırasında benzer kabuk kodlarını paylaşıyor. Ek olarak, her iki örnek de “bellek içi sanal dosya sistemlerini” ve eklentileri ve modülleri yüklemek için Lua dilini kullanıyor.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel, açık kaynaklı kötü amaçlı yazılımların, kodların yeniden kullanımı ve yeniden markalamanın, siber suçlular tarafından yaygın olarak kullanılan yöntemler olduğunu belirterek, şunları kaydetti:
“Bu durum acemi saldırganların bile artık büyük ölçekli kampanyalar gerçekleştirebileceği ve dünyanın dört bir yanındaki kurbanları hedef alabileceği anlamına geliyor. Dahası, kötü amaçlı reklam yazılımları, kötü amaçlı yazılım grupları arasında halihazırda yüksek talep gören popüler bir trend haline geliyor. Bu tür saldırılardan kaçınmak ve şirketinizi tehlikeye atılmaktan korumak için siber güvenlik alanında neler olup bittiğinin farkında olmak ve mevcut en yeni koruma araçlarını kullanmak büyük önem taşıyor.”
Muhabir: Yıldız Taşdelen Erli