'Moobot' olarak bilinen Mirai kötü amaçlı botnet varyantı, geçen ayın başlarında başlayan yeni bir saldırı dalgasında yeniden ortaya çıktı ve savunmasız D-Link yönlendiricilerini eski ve yeni istismarların bir karışımıyla hedef aldı.
Moobot, Aralık 2021'de Fortinet'teki analistler tarafından keşfedildi ve Hikvision kameralarında bir kusuru hızlı bir şekilde yaymak ve DDOS (dağıtılmış hizmet reddi) ordusuna çok sayıda cihaza katılmak için bir kusuru hedefledi.
Bugün, kötü amaçlı yazılım, hedefleme kapsamını yeniledi, bu da botnetler için tipik olan, çekebilecekleri savunmasız cihazların kullanılmamış havuzlarını arıyor.
Palo Alto Network’ün Birimi 42 araştırmacıları tarafından derlenen bir rapora göre, Moobot şimdi D-Link cihazlarında aşağıdaki kritik güvenlik açıklarını hedefliyor:
Satıcı, bu kusurları ele almak için güvenlik güncellemeleri yayınladı, ancak tüm kullanıcılar henüz bu yıl Mart ve Mayıs aylarında bilinen son iki yamaları uygulamadı.
Moobot’un operatörleri, hedefler üzerinde uzaktan kod yürütme kazanmak ve keyfi komutlar kullanarak kötü amaçlı yazılım ikili almak için kusurların düşük saldırı karmaşıklığından yararlanır.
Kötü amaçlı yazılım, yapılandırmadan sabit kodlu adresi çözdükten sonra, yeni yakalanan yönlendiriciler tehdit oyuncusu C2'ye kaydedilir.
Ünite 42’nin raporunda sunulan C2 adreslerinin Fortinet’in yazılarından farklı olduğunu ve tehdit oyuncusunun altyapısında bir yenileme olduğunu belirtmek önemlidir.
Sonunda, yakalanan yönlendiriciler, Moobot’un operatörlerinin ne elde etmek istediklerine bağlı olarak çeşitli hedeflere yönelik yönlendirilmiş DDOS saldırılarına katılır.
Tipik olarak, tehdit aktörleri DDOS hizmetlerini başkalarına satar, bu nedenle BotNet’in ateş gücü, sitelere ve çevrimiçi hizmetlerde düşüş veya kesintiye neden olmak isteyen herkese kiralanır.
Meydan okumalı D-Link cihazlarının kullanıcıları, internet hız düşüşleri, tepkisizlik, yönlendirici aşırı ısınma veya açıklanamaz DNS yapılandırma değişikliklerini, tüm BOTNET enfeksiyon belirtilerini fark edebilir.
Moobot'un kapısını kapatmanın en iyi yolu, mevcut ürün yazılımı güncellemelerini D-Link yönlendiricinize uygulamaktır. Eski ve desteklenmeyen bir cihaz kullanıyorsanız, yönetici paneline uzaktan erişimi önlemek için bunu yapılandırmalısınız.
Zaten tehlikeye atılmış olsaydınız, ilgili fiziksel düğmeden bir sıfırlama gerçekleştirmeli, yönetici şifrenizi değiştirmeli ve ardından satıcıdan en son güvenlik güncellemelerini yüklemelisiniz.
Kritik RCE Güvenlik Açığı Draytek yönlendiricilerinin 29 modelini etkiler
Zyxel, kritik RCE güvenlik açığını düzeltmek için yeni NAS ürün yazılımı yayınladı
Atlassian Bitbucket Sunucusu Kritik RCE Güvenlik Açığı'na karşı savunmasız
GitLab, kritik RCE güvenlik açığı yama yapmayı 'şiddetle tavsiye ediyor'
Cisco, VPN yönlendiricilerindeki kritik uzaktan kumanda yürütme hatasını düzeltir
Kaynak: Bleeping Computer