'ShadowV2' adlı yeni bir Mirai tabanlı botnet kötü amaçlı yazılımının, bilinen güvenlik açıklarından yararlanan D-Link, TP-Link ve diğer satıcıların IoT cihazlarını hedef aldığı gözlemlendi.
Fortinet'in FortiGuard Labs araştırmacıları, etkinliği Ekim ayındaki büyük AWS kesintisi sırasında fark etti. Her ne kadar iki olay bağlantılı olmasa da botnet yalnızca kesinti süresince aktifti; bu da bunun bir test çalışması olduğunu gösteriyor olabilir.
ShadowV2, birden fazla IoT ürünündeki en az sekiz güvenlik açığından yararlanarak yayıldı:
Bu kusurlar arasında CVE-2024-10914, EoL D-Link cihazlarını etkileyen, istismar edildiği bilinen bir komut ekleme kusurudur ve satıcı bunu düzeltmeyeceğini duyurdu.
Kasım 2024 tarihli bir NetSecFish raporunun bulunduğu CVE-2024-10915 ile ilgili olarak BleepingComputer başlangıçta satıcının kusura ilişkin tavsiyesini bulamadı. Şirketle iletişime geçtikten sonra sorunun etkilenen modellerde çözülmeyeceğine dair onay aldık.
D-Link, belirli bir CVE kimliğini eklemek için eski bir bülteni güncelledi ve kullanıcıları, kullanım ömrü veya desteği sona eren cihazların artık geliştirilme aşamasında olmadığı ve donanım yazılımı güncellemelerini almayacağı konusunda uyarmak için ShadowV2 kampanyasına atıfta bulunan yeni bir bülten yayınladı.
Yine Kasım 2024'te ayrıntılı olarak sunulan CVE-2024-53375'in beta donanım yazılımı güncellemesiyle düzeltildiği bildirildi.
FortiGuard Labs araştırmacılarına göre ShadowV2 saldırıları 198[.]199[.]72[.]27'den kaynaklandı ve hükümet, teknoloji, üretim, yönetilen güvenlik hizmeti sağlayıcıları (MSSP'ler), telekomünikasyon ve eğitim de dahil olmak üzere yedi sektördeki yönlendiricileri, NAS cihazlarını ve DVR'leri hedef aldı.
Etki küreseldi; Kuzey ve Güney Amerika, Avrupa, Afrika, Asya ve Avustralya'da saldırılar gözlemlendi.
Araştırmacılar, ShadowV2'nin nasıl çalıştığına ilişkin teknik ayrıntılar sağlayan bir raporda, kötü amaçlı yazılımın kendisini "ShadowV2 Build v1.0.0 IoT sürümü" olarak tanımladığını ve Mirai LZRD varyantına benzer olduğunu söylüyor.
Savunmasız cihazlara, onu 81[.]88[.]18[.]108 adresindeki bir sunucudan getiren bir indirme komut dosyası (binary.sh) kullanılarak bir ilk erişim aşaması yoluyla teslim edilir.
Dosya sistemi yolları, Kullanıcı Aracısı dizeleri, HTTP üstbilgileri ve Mirai tarzı dizeler için XOR kodlu yapılandırmayı kullanır.
İşlevsel yetenekler açısından, UDP, TCP ve HTTP protokollerine her biri için çeşitli taşma türleri ile dağıtılmış hizmet reddi (DDoS) saldırılarını destekler. Komuta ve kontrol (C2) altyapısı bu saldırıları botlara gönderilen komutlar aracılığıyla tetikler.
Tipik olarak DDoS botnet'leri, ateş güçlerini siber suçlulara kiralayarak veya doğrudan hedefleri gasp ederek, saldırıları durdurmak için ödeme talep ederek para kazanıyor. Ancak Shadow V2'nin arkasında kimin olduğu ve para kazanma stratejilerinin ne olduğu henüz bilinmiyor.
Fortinet, raporun alt kısmında bu ortaya çıkan tehdidi tanımlamaya yardımcı olmak için güvenlik ihlali göstergelerini (IoC'ler) paylaştı ve IoT cihazlarında ürün yazılımını güncel tutmanın önemi konusunda uyarıda bulundu.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
RondoDox botnet, dünya çapındaki saldırılarda 56 günlük kusuru hedefliyor
Yeni Eleven11bot botnet, DDoS saldırıları için 86.000 cihaza bulaşıyor
Popüler Android tabanlı fotoğraf çerçeveleri açılışta kötü amaçlı yazılım indiriyor
Yeni WrtHug kampanyası, kullanım ömrü dolmuş binlerce ASUS yönlendiriciyi ele geçirdi
RondoDox botnet kötü amaçlı yazılımı artık XWiki kusurunu kullanarak sunucuları hackliyor
Kaynak: Bleeping Computer