Pazar, Haziran 23, 2024
Ana SayfaTeknoloji HaberleriTehdit aktörleri, iş sınıfı yönlendiricilere arka kapı olarak girmek için gelişmiş kötü...

Tehdit aktörleri, iş sınıfı yönlendiricilere arka kapı olarak girmek için gelişmiş kötü amaçlı yazılım kullanıyor

Yönlendiriciye takılı bilgisayar kabloları.

Araştırmacılar, Kuzey ve Güney Amerika ile Avrupa’yı vuran devam eden bir kampanyada, iş sınıfı yönlendiricileri e-postaları koklayabilen ve dosyaları çalabilen, saldırgan kontrollü dinleme gönderilerine dönüştüren gelişmiş kötü amaçlı yazılımları ortaya çıkardılar.

Kötü amaçlı yazılım, IMAP, SMTP ve POP e-postasını pasif olarak yakalamanın yanı sıra, saldırganların dosyaları indirmesine ve istedikleri komutları çalıştırmasına olanak tanıyan bir uzaktan erişim Truva Atı ile yönlendiricilerin arka kapısını da açar. Arka kapı, saldırganların yönlendirici aracılığıyla diğer sunuculardan veri aktarmasına da olanak tanıyarak, kötü niyetli etkinliğin gerçek kaynağını gizlemek için cihazı gizli bir proxy’ye dönüştürür.

Siyah Lotus Laboratuvarları

“Bu tür ajanlar, yönlendiriciye sahip olan varlık kendilerini bir istihbarat hedefi olarak görmese bile, interneti kullanan bir yönlendiriciye sahip herkesin potansiyel olarak bir hedef olabileceğini ve başka bir kampanya için vekil olarak kullanılabileceğini gösteriyor.” güvenlik firması Lumen’in Black Lotus Labs araştırmacıları yazdı. “Tehdit aktörlerinin, tespit edilmekten kaçınmak için güvenliği ihlal edilmiş birden fazla varlığı birbirleriyle birlikte kullanmaya devam edeceğinden şüpheleniyoruz.”

Araştırmacılar, Hiatus adlı kampanyanın en azından geçen Temmuz ayından beri faaliyet gösterdiğini söyledi. Şimdiye kadar, öncelikle bir i386 mimarisi çalıştıran DrayTek Vigor modelleri 2960 ve 3900’ü vurdu. Bu yüksek bant genişliğine sahip yönlendiriciler, yüzlerce uzak çalışan için sanal özel ağ bağlantılarını destekler. Bugüne kadar yaklaşık 100 yönlendiriciye virüs bulaştı, bu da İnternet’e açık olan DrayTek 2960 ve 3900 yönlendiricilerinin yaklaşık yüzde 2’sine tekabül ediyor. Araştırmacılar, Hiatus’un arkasındaki bilinmeyen tehdit aktörünün, operasyonun gizliliğini korumak için ayak izini kasıtlı olarak küçük tuttuğundan şüpheleniyorlar.

Black Lotus, ilk etapta cihazların nasıl saldırıya uğradığını hâlâ bilmiyor. Bu bir kez ve nasıl olursa olsun, kötü amaçlı yazılım, kullanım sonrası konuşlandırılan bir bash betiği aracılığıyla yüklenir. İki ana ikili dosyayı indirir ve kurar.

İlki HiatusRAT’tır. Kurulduktan sonra, uzaktaki bir tehdit aktörünün cihazda komutları çalıştırma veya yeni yazılım gibi şeyler yapmasına izin verir. ” ve (2) “e-posta ve dosya aktarım iletişimleriyle ilişkili bağlantı noktalarındaki yönlendirici trafiğini izlemek” için dahil edilmiş bir paket yakalama ikili dosyası kullanın.

Araştırmacılar, 1. işleve bir SOCKS 5 yazılımı dahil eden tehdit aktörünün, kötü amaçlı trafiği virüslü yönlendirici aracılığıyla vekil olarak göndererek kaynağını gizlemek için olduğundan şüpheleniyorlar. Kara Lotus araştırmacıları şunları yazdı:

HiatusRAT tcp_forward işlevi, bir tehdit aktörünün, yukarı akışlı bir C2 düğümüne çarpmadan önce tehlike altındaki bir cihaz aracılığıyla işaretlerini ayrı bir bulaşmadan iletmesine olanak tanır. Tersine, komutlarını, hedeflenen cihazın ülkesindeki güvenliği ihlal edilmiş yönlendirici aracılığıyla yukarı akış altyapısından bir web kabuğuna yankılayabilirler, ardından coğrafi eskrim tabanlı güvenlik önlemlerini geçirerek gerçek kaynak kaynaklarını gizlemek için daha pasif bir aracıyla etkileşime girebilirler.

Siyah Lotus Laboratuvarları

Paket yakalamayı etkinleştiren bir tcpdump ikili, işlev 2’nin arkasındaki motordu. Bu, Hiatus’a bitişik LAN’dan e-posta ve FTP iletişimi ileten bağlantı noktalarındaki trafiği izleme yeteneği verdi. IMAP, POP ve SMTP e-posta protokolleriyle çalışacak şekilde önceden yapılandırılmıştır.

Siyah Lotus Laboratuvarları

Hiatus, temel olarak bir i386 mimarisi çalıştıran DrayTek yönlendiricilerini hedefliyor. Ancak araştırmacılar, ARM, MIPS64 big endian ve MIPS32 little endian platformları için derlenmiş önceden oluşturulmuş ikili dosyaları ortaya çıkardılar.

HiatusRAT’ın paket yakalama yeteneği, hala şifrelenmemiş e-posta gönderen herkes için büyük bir uyandırma çağrısı görevi görmelidir. Son yıllarda, e-posta hizmetleri, hesapları 993 numaralı bağlantı noktası üzerinden SSL/TLS veya 143 numaralı bağlantı noktasındaki STARTTLS gibi protokolleri kullanacak şekilde otomatik olarak yapılandırma konusunda gelişmiştir. Hala düz metin olarak e-posta gönderen herkes muhtemelen daha sonra pişman olacaktır.

Yönlendiricilerin İnternet’e bağlı bilgisayarlar olduğunu ve bu nedenle güncellemelerin ve tüm varsayılan parolaların değiştirilmesi gibi diğer önlemlerin alınmasını sağlamak için düzenli olarak dikkat edilmesi gerektiğini unutmamak da iyi bir fikirdir. İşletmeler için özel yönlendirici izleme kullanmak da mantıklı olabilir.

RELATED ARTICLES

Popüler Konular