Siber Güvenlik

Yeni ShadowV2 Botnet Malware: AWS Kesintisinden Nasıl Faydalandı?

teknomers
teknomers

ShadowV2 Botnet Nedir?

Yeni bir Mirai tabanlı botnet zararlısı olan ‘ShadowV2’, D-Link, TP-Link gibi çeşitli IoT cihazlarını hedef alıyor. Bu botnet, bilinen güvenlik açıklarından faydalanarak yayılmakta. Fortinet’in FortiGuard Labs araştırmacıları, ShadowV2’nin faaliyetlerini Ekim ayında meydana gelen büyük AWS kesintisi sırasında tespit etti.

Her ne kadar iki olay arasında doğrudan bir bağlantı bulunmasa da, botnet’in yalnızca kesinti süresince aktif olması, bu durumun bir test çalışması olabileceğini düşündürüyor.

Hedef Alınan Güvenlik Açıkları

ShadowV2, çok sayıda IoT ürününde bulunan en az sekiz güvenlik açığını kullanarak yayıldı:

  • DD-WRT (CVE-2009-2765)
  • D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915)
  • DigiEver (CVE-2023-52163)
  • TBK (CVE-2024-3721)
  • TP-Link (CVE-2024-53375)

Bu açıklar arasında, CVE-2024-10914, D-Link’in sonlandırılmış cihazlarında kritik bir komut enjeksiyonu açığı olarak dikkat çekmektedir. Şirket, bu sorun için bir düzeltme yayınlamayacağını bildirmiştir.

CVE-2024-10915 ise kullanıcılar için tehlike oluşturan bir başka açık olup, D-Link’in bu model için de bir çözüm sunmayacağı belirtilmiştir.

Yayılma ve Etki Alanları

FortiGuard Labs araştırmacılarına göre, ShadowV2 saldırıları 198[.]199[.]72[.]27 IP adresinden kaynaklanmakta ve hükümet, teknoloji, üretim gibi yedi farklı sektördeki yönlendiriciler, NAS cihazları ve DVR’leri hedef almakta. Saldırılar, Kuzey ve Güney Amerika, Avrupa, Afrika, Asya ve Avustralya gibi farklı bölgelerde global ölçekte gözlemlenmiştir.

The botnet's global impact
Botnet’in Küresel Etkisi
Kaynak: Fortinet

ShadowV2’nin Çalışma Prensibi

Malware, “ShadowV2 Build v1.0.0 IoT version” olarak kendini tanımlamakta ve Mirai LZRD varyantıyla benzerlik göstermektedir. Zayıf cihazlara, bir indirme scripti (binary.sh) üzerinden ulaşıyor ve bu script, zararlıyı 81[.]88[.]18[.]108 IP adresinden indirmekte.

ShadowV2’nin işlevsel yetenekleri arasında UDP, TCP ve HTTP protokolleri üzerinden dağıtık hizmet reddi (DDoS) saldırıları gerçekleştirmek var. Komut ve kontrol (C2) altyapısı, botlara saldırıları tetikleyen komutlar göndermekte.

DDoS attack trigger
DDoS Saldırı Tetikleme
Kaynak: Fortinet

Sonuç ve Öneriler

Genellikle DDoS botnetleri, siber suçlulara güç kiralama veya hedeflerden doğrudan ödeme talep ederek para kazanma yolları arar. Ancak ShadowV2’nin arkasındaki kişiler ve monetizasyon stratejileri henüz bilinmemektedir.

Fortinet, bu yeni tehdidi tanımlamak için bazı ihlal göstergeleri (IoC’ler) paylaşmış ve IoT cihazlarının firmware’lerini güncel tutmanın önemini vurgulamıştır. Kullanıcıların sadece güvenlik açıklarını takip etmekle kalmayıp, aynı zamanda cihazlarının yazılım güncellemelerini düzenli olarak kontrol etmeleri gerekmektedir.

Güncel Siber Güvenlik Haberleri – 2

Contents
ABD’de yeni iPhone SE, alıcılar için pek ilgi çekici değil. Görünüşe göre yeni ürün öncekinden daha kötü satıyor
Anılarla Dolu: İlk Sahip Olduğum Oyunla İlham Alan Yeni RPG
Gelişmiş Tehdit Yönetiminiz Ne Kadar İyi?
Bills vs Ravens canlı akışı: NFL 4. hafta çevrimiçi nasıl izlenir
Çin, uzaktan algılama uydularından oluşan yeni takımyıldızı Yaogan-43-01’i fırlattı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale WoW Konutuyla Diğer Blizzard Oyunlarında Ödüller Kazanın!
Sonraki Makale Apple, iPhone 17 ile Samsung’u Geçerek Zirveye Yerleşiyor!

Sanal Medya

Son Eklenenler

Switch 2 Avrupa’da Tüketici Dostu Bir Yenilikle Geliyor
Oyun
Brian Chesky’den Yeni Bir Yapay Zeka Laboratuvarı Müjdesi
Genel
Valve yaz sezonunda Steam Machine’i piyasaya sürmeye hazır
Liste
Acil: Windows için Hola Tarayıcısı Kripto Madenciliği için Tehdit Altında
Siber Güvenlik
IPO öncesi Anthropic’in Daniela Amodei, AI’a ilişkin kaygıları aşıyor
Yapay Zeka
Kullanıcı Değiştirebilir Bataryalı Nintendo Switch 2 Avrupa’ya Geliyor
Donanım