Çarşamba, Ocak 22, 2025
Ana SayfaTeknoloji HaberleriDaha önce hiç görülmemiş kötü amaçlı yazılım yüzlerce Linux ve Windows cihazına...

Daha önce hiç görülmemiş kötü amaçlı yazılım yüzlerce Linux ve Windows cihazına bulaştı

Birler ve sıfırlardan yapılmış stilize bir kafatası ve kemikler.

Araştırmacılar, küçük ofis yönlendiricileri, FreeBSD kutuları ve büyük kurumsal sunucular dahil olmak üzere çok çeşitli Linux ve Windows cihazlarına bulaşan, daha önce hiç görülmemiş bir çapraz platform kötü amaçlı yazılımı ortaya çıkardı.

Güvenlik firması Lumen’in araştırma kolu olan Black Lotus Labs, kullandığı işlev adlarında, sertifikalarda ve dosya adlarında tekrar tekrar görünen bir kelime olan kötü amaçlı yazılımı Kaos olarak adlandırıyor. Kaos, ilk kontrol sunucuları kümesinin vahşi doğada yayına girdiği 16 Nisan’dan sonra ortaya çıktı. Haziran ayından Temmuz ortasına kadar araştırmacılar, güvenliği ihlal edilmiş Kaos cihazlarını temsil eden yüzlerce benzersiz IP adresi buldu. Yeni cihazlara bulaşmak için kullanılan hazırlama sunucuları son aylarda mantar gibi çoğaldı ve Mayıs’ta 39’dan Ağustos’ta 93’e yükseldi. Salı günü itibariyle sayı 111’e ulaştı.

Black Lotus, hem yerleşik Linux cihazlarından hem de Avrupa’da bir GitLab örneğini barındıran kurumsal sunuculardan gelen bu hazırlama sunucularıyla etkileşimleri gözlemledi. Vahşi doğada 100’den fazla benzersiz örnek var.

Black Lotus Labs araştırmacıları Çarşamba sabahı bir blog yazısında, “Kaos kötü amaçlı yazılımının gücü birkaç faktörden kaynaklanıyor” dedi. “Birincisi, hem Windows hem de Linux işletim sistemlerine ek olarak ARM, Intel (i386), MIPS ve PowerPC dahil olmak üzere çeşitli mimarilerde çalışacak şekilde tasarlanmıştır. İkincisi, spam’i yaymak ve Kaos, bilinen CVE’ler ve kaba zorlama ve çalıntı SSH anahtarları aracılığıyla yayılır.”

CVE’ler, belirli güvenlik açıklarını izlemek için kullanılan mekanizmayı ifade eder. Çarşamba günkü rapor, Huawei tarafından satılan güvenlik duvarlarını etkileyen CVE-2017-17215 ve CVE-2022-30525 ve F5 tarafından satılan yük dengeleyiciler, güvenlik duvarları ve ağ denetim donanımlarında son derece ciddi bir güvenlik açığı olan CVE-2022-1388 dahil olmak üzere yalnızca birkaçına atıfta bulundu. . Parola kaba zorlama ve çalınan anahtarlar kullanan SSH enfeksiyonları, Kaos’un virüslü bir ağ içinde makineden makineye yayılmasına da izin verir.

Kaos ayrıca, virüslü bir ağa bağlı tüm cihazları numaralandırmak, saldırganların komutları yürütmesine izin veren uzak kabukları çalıştırmak ve ek modüller yüklemek dahil olmak üzere çeşitli yeteneklere sahiptir. Bu kadar geniş bir cihaz yelpazesinde çalışma yeteneği ile birleştiğinde, bu yetenekler Black Lotus Labs’in Kaos’tan “ilk erişim, DDoS saldırıları ve kripto için yararlanmak üzere virüslü cihazlardan oluşan bir ağ geliştiren bir siber suçlu aktörün işi” olduğundan şüphelenmesine neden oldu. madencilik,” dedi şirket araştırmacıları.

Black Lotus Labs, Kaos’un, DDoS saldırılarını gerçekleştirmek için Linux tabanlı AMD ve i386 sunucuları için bir botnet yazılımı parçası olan Kaiji’nin bir uzantısı olduğuna inanıyor. Kaos, kendine geldiğinden beri, yeni mimariler için modüller, Windows üzerinde çalışma yeteneği ve güvenlik açığından yararlanma ve SSH anahtar toplama yoluyla yayılma yeteneği de dahil olmak üzere bir dizi yeni özellik kazandı.

Etkilenen IP adresleri, Kaos enfeksiyonlarının en çok Avrupa’da yoğunlaştığını, Kuzey ve Güney Amerika’da ve Asya Pasifik’te daha küçük sıcak noktalar olduğunu gösterir.

Siyah Lotus Laboratuvarları

Black Lotus Labs araştırmacıları şunları yazdı:

Eylül ayının ilk birkaç haftasında, Kaos ana bilgisayar öykünücümüz, yaklaşık iki düzine kuruluşun etki alanını veya IP’sini hedefleyen birden çok DDoS komutu aldı. Global telemetrimizi kullanarak, aldığımız saldırı komutlarından zaman çerçevesi, IP ve bağlantı noktası ile çakışan birden çok DDoS saldırısı belirledik. Saldırı türleri genellikle birden çok bağlantı noktasında UDP ve TCP/SYN’den yararlanan çok vektörlüydü ve genellikle birkaç gün boyunca hacim olarak arttı. Hedeflenen varlıklar arasında oyun, finansal hizmetler ve teknoloji, medya ve eğlence ve barındırma yer aldı. Hizmet olarak DDoS sağlayıcılarını ve bir kripto madenciliği borsasını hedef alan saldırıları bile gözlemledik. Toplu olarak, hedefler EMEA, APAC ve Kuzey Amerika’yı kapsıyordu.

Bir oyun şirketi, 30120 numaralı bağlantı noktası üzerinden karışık bir UDP, TCP ve SYN saldırısı için hedef alındı. 1 Eylül – 5 Eylül tarihlerinden itibaren, kuruluş, tipik hacminin üzerinde ve üzerinde bir trafik akışı aldı. Saldırı döneminden önceki ve sonraki zaman dilimi için trafik dökümü, 30120 numaralı bağlantı noktasına yaklaşık 12 bin farklı IP tarafından gönderilen bir trafik selini gösterir – ancak bu trafiğin bir kısmı IP sahtekarlığının göstergesi olabilir.

Siyah Lotus Laboratuvarları

Hedeflerden birkaçı, hizmet olarak DDoS sağlayıcılarını içeriyordu. One kendisini, CAPTCHA baypas ve “benzersiz” taşıma katmanı DDoS yetenekleri sunan birinci sınıf bir IP stres etkeni ve önyükleyici olarak pazarlamaktadır. Ağustos ayının ortalarında, görünürlüğümüz trafikte önceki 30 gün içinde kaydedilen en yüksek hacme göre yaklaşık dört kat daha fazla büyük bir artış olduğunu ortaya koydu. Bunu 1 Eylül’de normal trafik hacminin altı katından daha büyük bir artış izledi.

Hizmet olarak DDoS organizasyonu gelen saldırı hacmi
büyüt / Hizmet olarak DDoS organizasyonu gelen saldırı hacmi

Siyah Lotus Laboratuvarları

İnsanların Kaos bulaşmasını önlemek için yapabileceği en önemli iki şey, tüm yönlendiricileri, sunucuları ve diğer cihazları tamamen güncel tutmak ve mümkün olduğunda güçlü parolalar ve FIDO2 tabanlı çok faktörlü kimlik doğrulama kullanmaktır. Her yerdeki küçük ofis yönlendirici sahiplerine bir hatırlatma: Yönlendirici kötü amaçlı yazılımlarının çoğu yeniden başlatmadan sağ çıkamaz. Cihazınızı her hafta yeniden başlatmayı düşünün. SSH kullananlar, kimlik doğrulama için her zaman bir şifreleme anahtarı kullanmalıdır.

RELATED ARTICLES

Popüler Konular