Log4j güvenlik açığının ifşasına aylar kaldı ve yeni saldırılar hala ortaya çıkıyor. Çinli bir siber güvenlik şirketi olan Qihoo 360’tan siber güvenlik araştırmacıları, rootkit’leri dağıtmak ve hassas verileri çalmak için kusurdan yararlanan yeni bir Linux botnet keşfettiler.
Botnet’e B1txor20 adını verdiler ve Linux Arm ve 64-bit x86 sistemlerini hedeflemek için log4j güvenlik açığını kullandığını iddia ettiler.
Araştırmacılar, “Geleneksel arka kapı işlevlerine ek olarak, B1txor20, bir Socket5 proxy açma ve bir rootkit’i uzaktan indirme ve yükleme gibi işlevlere de sahiptir.” Dedi.
Buggy botnet
Botnet, rootkit’leri kurmanın yanı sıra dosyaları okuyup yazmaya, proxy hizmetlerini çalıştırmaya ve sonlandırmaya ve ayrıca ters kabukları çalıştırmaya çalışır. Ayrıca, etkilenen uç noktalardan veri sızdırabilir ve uzaktan komutlar çalıştırabilir, bu da tehlikeli kötü amaçlı yazılımların yayılmasına neden olabilir.
Bu mükemmel bir botnet olmaktan çok uzak, çünkü araştırmacılar aynı zamanda hatalar ve işlevsel olmayan özellikler de buldular. Hatalardan biri, etki alanı soketini bağladıktan sonra soket dosyasını siler ve soketi bağlanamaz hale getirir ve tüm işlevi işe yaramaz hale getirir.
Araştırmacılar, tehdit aktörünün karışıklıkları gidermek için ek saatler koymasını ve botnet’i olduğundan daha tehlikeli hale getirmesini bekliyor.
Grup, “B1txor20’nin yazarının farklı senaryolara göre farklı özellikler geliştirmeye ve açmaya devam edeceğini tahmin ediyoruz, bu yüzden belki gelecekte B1txor20’nin kardeşleriyle tanışırız” dedi.
Apache’nin günlük kaydı aracı log4j’de geçen yıl Aralık ayı başlarında keşfedilen güvenlik açığı, şimdiye kadarki en tehlikeli güvenlik açıklarından biri olarak adlandırıldı. Log4j yaygın olarak kullanılmaktadır ve kusurun üçüncü taraf aktörlerin hedef cihaza uzaktan, tam erişime izin verdiği göz önüne alındığında, yıkıcı potansiyeli sınırsızdır.
Bir kez keşfedildiğinde, Apache bir yama geliştirmek için acele etti ve yol boyunca hatalar yaptı. Log4j güvenlik açığının nihayet kapatılması için birden çok deneme ve birden çok yama gerekti. Her yerdeki yöneticilerden sistemlerini güncel tutmaları isteniyor.
Üzerinden: Kayıt