ViciousTrap: Siber Güvenlikte Yeni Bir Tehdit
Siber güvenlik araştırmacıları, ViciousTrap adlı bir siber aktörün, 84 ülkede 5,300’den fazla benzersiz ağ uç cihazını ele geçirerek, bunları adeta bir honeypot ağına dönüştürdüğünü duyurdu. ViciousTrap’ın kullandığı taktiklerin ve saldırı metodolojisinin anlaşılması, siber güvenlik uzmanları için kritik bir önem taşımaktadır.
Tehditin Kökleri: Cisco Güvenlik Açığı
Saldırgan, Cisco’nun RV016, RV042, RV042G, RV082, RV320 ve RV325 yönlendiricilerini etkileyen kritik bir güvenlik açığını (CVE-2023-20118) kullanarak bu cihazları kontrol altına almıştır. Bu cihaza yapılan saldırıların çoğu Macao merkezlidir ve burada 850 ele geçirilmiş cihaz bulunmaktadır. Yıllar içinde karşılaşılan diğer botnetlerle kıyaslandığında, ViciousTrap’ın yöntemleri oldukça ilginç ve yenilikçidir.
Saldırı Zinciri ve NetGhost
Saldırı zinciri, "NetGhost" adlı bir kabuk scriptinin yürütülmesini içerir. Bu script, ele geçirilen yönlendiricinin belirli portlarından gelen trafiği, saldırganın kontrolündeki bir honeypot yapısına yönlendirir. Böylece, saldırgan ağ akışlarını kesebilir ve onları izleyebilir. Sekoia adlı güvenlik şirketinin yaptığı analiz, bu saldırı zincirinin etkilerini detaylı bir şekilde ortaya koymuştur.
Geçmiş ve Gelecek İhtimalleri
ViciousTrap’ın CVE-2023-20118 açığını kullanması, daha önce PolarEdge adındaki başka bir botnet ile ilişkilendirilmişti. Ancak, bu iki grubun faaliyetleri arasında doğrudan bir bağlantı bulunmamaktadır. ViciousTrap’ın hedef aldığı cihazlar, SOHO yönlendiricileri, SSL VPNler ve DVR’lar gibi internetle bağlantılı çok çeşitli ekipmanları kapsamaktadır.
Bu tür bir yapı, saldırganın farklı ortamlar üzerindeki exploit denemelerini gözlemlemesine ve potansiyel olarak sıfır gün exploitleri toplamasına olanak sağlar. Ayrıca, diğer tehdit aktörlerinden elde edilen erişimleri yeniden kullanma şansı sunar.
Teknik Süreç: İki Aşamalı Saldırı
Saldırının ikinci aşaması, ele geçirilen sistemden dış bir sunucuya bağlantı kurarak wget binary dosyasını indirip çalıştırmayı içerir. İkinci aşama scripti, tekrar Cisco açığını kullanarak retrieve edilen bir başka scripti yürütmektedir. NetGhost olarak adlandırılan bu ikinci aşama scripti, ele geçirilen sistemden gelen ağ trafiğini saldırganın kontrolündeki üçüncü taraf altyapısına yönlendirme yeteneğine sahiptir. Bu, adversary-in-the-middle (AitM) saldırılarını kolaylaştırmaktadır.
IP Adresleri ve Gözlemler
Sekoia’nın raporuna göre, tüm exploit denemeleri tek bir IP adresinden ("101.99.91[.]151") gelmektedir. Bu adres üzerinden yapılan ilk faaliyetler ise Mart 2025’e kadar uzanmaktadır. Bir ay sonra, ViciousTrap aktörlerinin, PolarEdge botnet saldırılarında kullanılan belgelenmemiş bir web shell’i kendi operasyonları için yeniden kullandığı gözlemlenmiştir.
Siber güvenlik araştırmacıları, bu tipik davranışların, saldırganın NetGhost’u kullanma şekliyle örtüştüğüne dikkat çekmektedir. Redirection mekanizması, saldırganı sessiz bir gözlemci konumuna getirerek exploit denemelerini ve muhtemel web shell erişimlerini toplamasına imkan tanımaktadır.
AS45839 ve Saldırganın Kimliği
Saldırıları organize eden aktörlerin, Malezya merkezli bir Otonom Sistem (AS45839) üzerinden operasyonlarını gerçekleştirdiği ortaya çıkmıştır. IP adresleri Malezya’da yer almakla birlikte, saldırganın Mandarin konuşan bir kökene sahip olduğu düşünülmektedir. Bu bilgi, ViciousTrap’ın trafik yönlendirmelerinin çoğunlukla Tayvan ve Amerika Birleşik Devletleri üzerindeki hedeflerle bağlantılı olduğuna işaret etmektedir.
Saldırının Nihai Hedefi
ViciousTrap’ın nihai amacı henüz netlik kazanmamıştır. Ancak yüksek bir güvenle, bunun bir honeypot tarzı ağ olduğu değerlendirilmektedir. Saldırganların niyetleri, daha derinlemesine araştırmalarla anlaşılmaya çalışılacaktır.
Siber güvenlik uzmanları, bu tür saldırılara karşı farkındalığı artırmak ve güvenlik önlemlerini güçlendirmek için sürekli olarak çalışmalar yapmaktadır. Özellikle ev ve ofis ağlarının güvenliği konusunda dikkatli olunması gerektiği bu tür olaylarla bir kez daha ortaya çıkmaktadır.
