Bir Mirai varyantının RapperBot adlı yeni bir sürümü, yaygın olarak yayılmaya çalışmak için nispeten yaygın olmayan veya önceden bilinmeyen enfeksiyon vektörlerini kullanan kötü amaçlı yazılımın en son örneğidir.
RapperBot, ilk olarak geçen yıl, Mirai kaynak kodunun büyük parçalarını içeren, ancak diğer Mirai türevlerine kıyasla bazı önemli ölçüde farklı işlevlere sahip Nesnelerin İnterneti (IoT) kötü amaçlı yazılımı olarak ortaya çıktı. Farklılıklar, komut ve kontrol (C2) iletişimleri için yeni bir protokolün kullanımını ve Mirai türevlerinde yaygın olduğu gibi Telnet hizmetleri yerine kaba kuvvet SSH sunucuları için yerleşik bir özelliği içeriyordu.
Sürekli Gelişen Tehdit
Geçen yıl kötü amaçlı yazılımı izleyen Fortinet araştırmacıları, yazarlarının kötü amaçlı yazılımı düzenli olarak değiştirdiğini gözlemledi. Kalıcılığı korumak için kod ekleme yeniden başlatmadan sonra bile virüslü makinelerde ve ardından uzak bir ikili indirici aracılığıyla kendi kendine yayılma koduyla. Daha sonra, kötü amaçlı yazılım yazarları kendi kendine yayılma özelliğini kaldırdılar ve kaba kuvvetle çalışan SSH sunucularına kalıcı uzaktan erişime izin veren bir özellik eklediler.
2022’nin dördüncü çeyreğinde Kaspersky araştırmacıları yeni bir RapperBot varyantı keşfetti SSH kaba kuvvet işlevselliğinin kaldırıldığı ve telnet sunucularını hedefleme yetenekleriyle değiştirildiği vahşi doğada dolaşan.
Kaspersky’nin kötü amaçlı yazılım analizi, güvenlik satıcısının “akıllı” olarak tanımladığı ve kaba kuvvet kullanan telnet için biraz alışılmadık bir özelliği de entegre ettiğini gösterdi. Kötü amaçlı yazılım, çok sayıda kimlik bilgisi ile kaba kuvvet uygulamak yerine, bir cihaza telnet ile bağlandığında alınan istemleri kontrol eder ve buna bağlı olarak, kaba kuvvet saldırısı için uygun kimlik bilgilerini seçer. Kaspersky, bunun diğer birçok kötü amaçlı yazılım aracıyla karşılaştırıldığında kaba kuvvet sürecini önemli ölçüde hızlandırdığını söyledi.
Kaspersky’de kıdemli bir güvenlik araştırmacısı olan Jornt van der Wiel, “Bir cihaza telnet bağladığınızda, genellikle bir bilgi istemi alırsınız” diyor. İstem, RapperBot’un hedeflediği cihazı ve hangi kimlik bilgilerini kullanacağını belirlemek için kullandığı bazı bilgileri ortaya çıkarabilir, diyor.
RapperBot, hedeflenen IoT cihazına bağlı olarak farklı kimlik bilgileri kullandığını söylüyor. Van der Wiel, “Dolayısıyla, A cihazı için kullanıcı/şifre seti A’yı ve B cihazı için kullanıcı/şifre seti B’yi kullanır” diyor.
Kötü amaçlı yazılım daha sonra kendisini hedef sisteme indirmek için “wget”, “curl” ve “ftpget” gibi çeşitli olası komutları kullanır. Kaspersky’ye göre bu yöntemler işe yaramazsa, kötü amaçlı yazılım bir indirici kullanır ve kendisini cihaza yükler.
RapperBot’un kaba kuvvet süreci nispeten nadirdir ve van der Weil, yaklaşımı kullanan diğer kötü amaçlı yazılım örneklerini adlandıramayacağını söylüyor.
Yine de, vahşi ortamdaki çok sayıda kötü amaçlı yazılım örneği göz önüne alındığında, şu anda bu yaklaşımı kullanan tek kötü amaçlı yazılım olup olmadığını söylemek imkansız. Muhtemelen tekniği kullanan ilk kötü amaçlı kod parçası değil, diyor.
Yeni, Nadir Taktikler
Kaspersky, RapperBot’u yaymak için nadir ve bazen daha önce görülmemiş teknikleri kullanan kötü amaçlı yazılımlara bir örnek olarak gösterdi.
Başka bir örnek, Rusça bir siber suç forumunda hizmet olarak kötü amaçlı yazılım seçeneği altında bulunan bir bilgi hırsızı olan “Rhadamanthys”. Bilgi hırsızı, tehdit aktörlerinin kötü amaçlı reklamlar yoluyla dağıtmaya başladığı, sayısı giderek artan kötü amaçlı yazılım ailelerinden biridir.
Taktik, saldırganların kötü amaçlı yazılım yüklü reklamlar veya çevrimiçi reklam platformlarında kimlik avı sitelerine bağlantılar içeren reklamlar yerleştirmesini içerir. Reklamlar genellikle yasal yazılım ürünleri ve uygulamaları içindir ve arama motoru sonuçlarında veya kullanıcılar belirli web sitelerinde gezinirken üst sıralarda görünmelerini sağlayan anahtar kelimeler içerir. Son aylarda tehdit aktörleri, LastPass, Bitwarden ve 1Password gibi yaygın olarak kullanılan parola yöneticilerinin kullanıcılarını hedeflemek için bu tür sözde kötü amaçlı reklamları kullandı.
Tehdit aktörlerinin kötü amaçlı reklamcılık dolandırıcılıklarında elde ettiği artan başarı, tekniğin kullanımında bir artışı teşvik ediyor. Örneğin, Rhadamanthys’in yazarları, ilk bulaşıcı vektör olarak kötü amaçlı reklamlara geçmeden önce başlangıçta kimlik avı ve spam e-postaları kullandılar.
Van der Weil, “Rhadamanthys, kötü amaçlı reklam kullanan diğer kampanyalardan farklı bir şey yapmıyor” diyor. “Ancak, kötü amaçlı reklamcılığın daha popüler hale geldiğini gördüğümüz bir trendin parçası.”
Kaspersky’nin tespit ettiği bir diğer trend ise, daha az beceriye sahip siber suçlular arasında artan açık kaynaklı kötü amaçlı yazılım kullanımı.
GitHub’da bulunan madeni para madenciliği kötü amaçlı yazılımları için indirici olan CueMiner’ı ele alalım. Kaspersky araştırmacıları, saldırganların, BitTorrent veya OneDrive paylaşım ağlarından indirilen crackli uygulamaların Truva atı haline getirilmiş sürümlerini kullanarak kötü amaçlı yazılımı dağıttığını gözlemledi.
Van der Weil, “Açık kaynak yapısı nedeniyle herkes onu indirebilir ve derleyebilir,” diye açıklıyor. “Bu kullanıcılar genellikle çok gelişmiş siber suçlular olmadıklarından, BitTorrent ve OneDrive gibi nispeten basit bulaşma mekanizmalarına güvenmek zorundalar.”