Devam eden bir analiz KmsdBot botnet, diğer tehdit aktörlerine sunulan kiralık bir DDoS hizmeti olma olasılığını artırdı.
Web altyapı şirketi Akamai, bunun saldırıya uğrayan farklı sektörlere ve coğrafyalara dayandığını söyledi. Dahil edilen önemli hedefler arasında BeşM ve RedMGrand Theft Auto V ve Red Dead Redemption 2’nin yanı sıra lüks markalar ve güvenlik firmaları için oyun modifikasyonlarıdır.
KmsdBot, sistemlere bulaşmak ve kripto para madenciliği gibi faaliyetler gerçekleştirmek ve dağıtılmış hizmet reddi (DDoS) saldırıları düzenlemek için TCP ve UDP kullanarak komutlar başlatmak için SSH’den yararlanan Go tabanlı bir kötü amaçlı yazılımdır.
Bununla birlikte, kötü amaçlı yazılım kaynak kodunda bir hata kontrol mekanizmasının olmaması, suçlu operatörlerin geçen ay yanlışlıkla kendi botnetlerini çökertmesine neden oldu.
Akamai araştırmacıları Larry W. Cashdollar ve Allen West, “Gözlemlenen IP’lere ve etki alanlarına göre, kurbanların çoğu Asya, Kuzey Amerika ve Avrupa’da bulunuyor.” söz konusu. “Bu komutların varlığı, hedeflenen oyun sunucularının önceki gözlemlerini takip ediyor ve bu kiralık botnet’in müşterilerine bir bakış sunuyor.”
Saldırı trafiğini inceleyen Akamai, KmsdBot’un uzak bir sunucudan kabul ettiği 18 farklı komut belirledi.
Video oyunu mod sunucularını hedeflemek için tasarlanmış “fivem” ve “redm” gibi komutların yanı sıra “hedef ortamdaki belirli yolları hedefliyor gibi görünen” bir “tarama” talimatı da dahildir.
Botnet’in bulaşma girişimlerinin grafiği, Rusya topraklarında ve komşu bölgelerde minimum aktiviteye işaret ediyor ve potansiyel olarak kökeni hakkında bir ipucu sunuyor.
30 günlük bir süre boyunca gözlemlenen saldırı komutlarının başka bir dökümü, “bigdata” nın 70’den fazla sıklıkta önde olduğunu gösteriyor. “Fivem” e 45 kez çağrı yapılırken, “redm” 10’dan az çağrı gördü.
Araştırmacılar, “Bu bize, oyun sunucularının sunulan belirli bir hedef olmasına rağmen, bu saldırılardan etkilenen tek endüstri olmayabileceğini gösteriyor” dedi. “Birden çok sunucu türü için destek, bu botnet’in genel kullanılabilirliğini artırıyor ve müşteri çekmede etkili görünüyor.”
Mevcut haliyle KmsdBot botnet, bir makinede kalıcılık aramaz, yani kazara bozulması, saldırganların botnet’i sıfırdan yeniden oluşturmasını gerektirir. Bununla birlikte, botnet’in bir geri dönüş gerçekleştirme girişiminde bulunduğuna dair göstergeler var.
Cashdollar, The Hacker News’e “Bot çöktükten yaklaşık 24-48 saat sonra tekrar enfeksiyon girişimleri gördüm ve ardından saldırı komutları bundan yaklaşık 24 saat sonra tekrar gelmeye başladı.” “Fakat şu anda, bilinen son C2 boş yönlendirilmiş gibi görünüyor ve bot sessiz.”
Bulgular, Microsoft’un MCCrash olarak bilinen ve özel Minecraft sunucularına karşı DDoS saldırıları gerçekleştirme yetenekleriyle birlikte gelen platformlar arası bir botnet’i detaylandırmasından bir hafta sonra geldi.