Kripto madenciliği ve dağıtılmış hizmet reddi (DDoS) saldırılarını takip eden bir tehdit grubu, geçen aydan bu yana yönlendiricileri ve Nesnelerin İnterneti (IoT) cihazlarını köleleştirdiği keşfedilen Enemybot adlı yeni bir botnet’e bağlandı.
Fortinet FortiGuard Labs, “Bu botnet esas olarak Gafgyt’in kaynak kodundan türetilmiştir, ancak Mirai’nin orijinal kaynak kodundan birkaç modül ödünç aldığı gözlemlenmiştir.” dedim bu hafta bir raporda.
Botnet, Keksec (aka Kek GüvenlikNecro ve FreakOut) gibi birden çok botnet ile bağlantılıdır. Simpler, Ryuk (aynı adı taşıyan fidye yazılımıyla karıştırılmamalıdır) ve Samaelve kripto madenciliği ve DDoS işlemlerini yürütmek için bulut altyapısını hedefleme geçmişine sahiptir.
Enfeksiyonlarını yaymak ve hacim olarak büyümek için öncelikle Seowon Intech, D-Link ve iRZ’den yönlendiricileri hedefliyor. kötü amaçlı yazılım örneği Enemybot’un analizi engellemeye ve saldırı komutlarını almak için Tor anonimlik ağında barındırılan uzak bir sunucuya bağlanmaya yönelik şaşırtma girişimlerini vurguladı.
Enemybot, diğer botnet kötü amaçlı yazılımları gibi, Mirai ve Gafgyt’in kaynak kodunu, aynı cihazlarda çalışan rakip işlemlerini taramak ve sonlandırmak için kullanılan eski tarayıcı ve bot öldürücü modüllerini kullanan en son sürümle birleştirmenin ve değiştirmenin sonucudur.
Botnet tarafından daha fazla cihaza bulaşmak için kullanılan n-günlük güvenlik açıklarından bazıları şunlardır:
- CVE-2020-17456 (CVSS puanı: 9.8) – Seowon Intech SLC-130 ve SLR-120S cihazlarında bir uzaktan kod yürütme hatası.
- CVE-2018-10823 (CVSS puanı: 8.8) – D-Link yönlendiricilerinde rastgele kod yürütme güvenlik açığı
- CVE-2022-27226 (CVSS puanı: 8.8) – iRZ Mobil Yönlendiricilerini etkileyen ve uzaktan kod yürütülmesine neden olan bir siteler arası istek sahteciliği sorunu
Fortinet ayrıca Gafgyt_tor“Düşman botu muhtemelen Gafgyt_tor’un güncellenmiş ve ‘yeniden markalanmış’ bir çeşididir.”
Açıklama, Qihoo 360’ın Ağ Güvenliği Araştırma Laboratuvarı’ndan (360 Netlab) araştırmacıların, Fodcha adlı, günlük 10.000’den fazla aktif botu tuzağa düşüren ve 29 Mart – 10 Nisan 2022 tarihleri arasında kümülatif olarak 62.000’den fazla benzersiz bota bulaşan, hızla yayılan bir DDoS botnet’i detaylandırmasıyla geldi.
Fodcha’nın Android, GitLab (CVE-2021-22205), Realtek Jungle SDK (CVE-2021-35394), MVPower, LILIN’den dijital video kaydediciler ve TOTOLINK ve ZHONE’dan yönlendiriciler.