Aktif bir kötü amaçlı yazılım kampanyası, yönlendiricileri ve video kaydedicileri Mirai tabanlı dağıtılmış hizmet reddi (DDoS) botnet’ine bağlamak için uzaktan kod yürütme (RCE) işlevine sahip iki sıfır gün güvenlik açığından yararlanıyor.
Akamai, “Yük, varsayılan yönetici kimlik bilgilerine sahip yönlendiricileri ve ağ video kaydedici (NVR) cihazlarını hedef alıyor ve başarılı olduğunda Mirai değişkenlerini yüklüyor.” söz konusu bu hafta yayınlanan bir tavsiye niteliğinde.
İki satıcının yama yayınlamasına izin vermek ve diğer tehdit aktörlerinin bunları kötüye kullanmasını önlemek için kusurların ayrıntıları şu anda gizli tutuluyor. Güvenlik açıklarından birine yönelik düzeltmelerin gelecek ay gönderilmesi bekleniyor.
Saldırılar ilk olarak web altyapısı ve güvenlik şirketi tarafından balküplerine karşı Ekim 2023’ün sonlarında fark edildi. Saldırıların failleri henüz belirlenemedi.
Komuta ve kontrol (C2) sunucularında ve sabit kodlanmış dizelerde ırkçı ve saldırgan dil kullanılması nedeniyle kod adı InfectedSlurs olan botnet, bir JenX Mirai kötü amaçlı yazılım çeşidi Ocak 2018’de ortaya çıktı.
Akamai, NSFOCUS’un yakın zamanda yaptığı bir analize göre, hailBot Mirai varyantıyla bağlantılı olduğu anlaşılan ek kötü amaçlı yazılım örnekleri de tespit ettiğini söyledi. HailBot Mirai varyantı Eylül 2023’te ortaya çıktı.
Pekin merkezli siber güvenlik firması, “HailBot, Mirai kaynak koduna dayalı olarak geliştirildi ve adı, çalıştırıldıktan sonra çıkan ‘Çin anakarasına selam’ dize bilgisinden türetildi.” kayıt edilmişgüvenlik açığından yararlanma ve zayıf parolalar yoluyla yayılma yeteneğini ayrıntılarıyla anlatıyor.
Gelişme Akamai olarak geliyor detaylı wso-ng adı verilen bir web kabuğu, WSO’nun “gelişmiş yinelemesi” (“web kabuğu by oRb”nin kısaltması), VirusTotal ve SecurityTrails gibi yasal araçlarla bütünleşirken oturum açma arayüzünü erişmeye çalıştığında bir 404 hata sayfasının arkasına gizlice gizler. .
Web kabuğunun dikkate değer keşif yeteneklerinden biri, sonraki yatay hareket için AWS meta verilerinin alınmasının yanı sıra, hassas uygulama verilerine yetkisiz erişim elde etmek amacıyla potansiyel Redis veritabanı bağlantılarının aranmasını içerir.
“Web kabukları, saldırganların verileri çalmak veya sunucuyu kimlik bilgileri hırsızlığı, yanal hareket, ek yüklerin dağıtımı veya klavye üzerinde uygulamalı etkinlik gibi diğer faaliyetler için bir fırlatma rampası olarak kullanmak üzere sunucularda komutlar çalıştırmasına olanak tanırken, saldırganların saldırganların saldırıda ısrar etmesine de olanak tanır. etkilenen bir kuruluş,” Microsoft söz konusu 2021’de.
Kullanıma hazır web kabuklarının kullanımı aynı zamanda tehdit aktörlerinin ilişkilendirme çabalarına meydan okuma ve istihbarat toplama konusunda uzmanlaşmış siber casusluk gruplarının önemli bir özelliği olan radarın altından geçme girişimi olarak da görülüyor.
Saldırganlar tarafından benimsenen bir diğer yaygın taktik, güvenliği ihlal edilmiş ancak meşru alan adlarının C2 amaçları ve kötü amaçlı yazılım dağıtımı için kullanılmasıdır.
Ağustos 2023’te Infoblox bir açıklama yaptı: yaygın saldırı Ziyaretçileri koşullu olarak aracı C2 ve sözlük alanı oluşturma algoritması (DDGA) alanlarına yönlendiren, güvenliği ihlal edilmiş WordPress web sitelerini içerir. aktivite VexTrio adlı bir tehdit aktörüne atfedildi.