Yeni KadNap Malware Tehditinin Yükselişi
Son zamanlarda siber güvenlik araştırmacıları, Asus yönlendiricilere yönelik olarak geliştirilen KadNap isimli yeni bir malware türü keşfetti. Bu malware, enfekte olan cihazları bir botnet ağına dahil ederek kötü amaçlı trafiği yönlendirmeye yardım ediyor.
Saldırı Nasıl Çalışıyor?
KadNap malware’i ilk kez Ağustos 2025’te tespit edildi ve bugüne kadar 14,000’den fazla cihazı etkiledi. Enfekte olan cihazların %60’ından fazlası ABD’de, geri kalanları ise Tayvan, Hong Kong, Rusya, Birleşik Krallık, Avustralya, Brezilya, Fransa, İtalya ve İspanya gibi ülkelerde bulunuyor.
Bu malware, Kademlia Dağıtık Hash Tablosu (DHT) protokolünün özelleştirilmiş bir versiyonunu kullanarak, kötü niyetli altyapısının IP adresini gizlemekte ve geleneksel ağ izleme sistemlerinden kaçınmaktadır. Kompromize olan düğümler, DHT protokolünü kullanarak bir komut ve kontrol (C2) sunucusuna bağlanmakta, bu da algılanma ve kesintiye uğrama çabalarına karşı dirençli bir ağ oluşturmaktadır.
Etkilenen Sistemler
Asus yönlendiricileri üzerinde yoğunlaşsa da, KadNap malware’inin çeşitli kenar ağ cihazlarına karşı da kullanıldığı tespit edilmiştir. Ana saldırı unsuru olarak kullanılan bir shell script (çalışma betiği) bulunmaktadır. Bu script, C2 sunucusundan (212.104.141[.]140) indirilmekte ve cihazı P2P ağına dahil etme sürecini başlatmaktadır. Script, her saat başında 55. dakikada kendisini tekrar indirmek için bir cron işi oluşturmakta ve dosyayı “.asusrouter” olarak yeniden adlandırarak çalıştırmaktadır.
Persistence (süreklilik) sağlandıktan sonra, bir kötü niyetli ELF dosyası indirilmekte, “kad” olarak yeniden adlandırılmakta ve çalıştırılmaktadır. Bu durum, KadNap malware’inin dağıtılmasına olanak tanımaktadır. KadNap, hem ARM hem de MIPS işlemciler üzerinde çalışabilmektedir.
Çözüm ve Korunma
KadNap, zaman bilgisi almak için bir Ağ Zaman Protokolü (NTP) sunucusuna bağlanmakta, bu bilgileri saklamakta ve merkezi ağdaki diğer düğümleri bulmak için bir hash oluşturmaktadır. Enfekte cihazlar, 22 numaralı TCP portunu kapatmaya yönelik işlevleri içeren fwr.sh ve /tmp/.sose dosyalarını içermektedir. Bu dosyalar, enfekte cihazdan ayrı olarak bir liste halinde C2 IP adresleri ve port kombinasyonları çekmektedir.
- Güncellemeleri kontrol edin: SOHO yönlendiricilerinizi güncel tutarak tehditleri minimize edin.
- Portları kapatın: Varsayılan ayarları değiştirtin ve yönetim arayüzlerini güvence altına alın.
- Ayrıca: Kullanılmayan veya desteklenmeyen cihaz modellerinizi değiştirmeyi düşünün.
Lumen tarafından yapılan tespitlere göre, KadNap botnet’i, anonim proxy desteği sunarak, merkezi kontrollerden kaçınmakta ve savunucuların korunmasını zorlaştırmaktadır.
Sonuç
Kullanıcılar, yukarıdaki önlemleri alarak KadNap malware’ine karşı kendilerini koruyabilirler. Unutmayın, sürekli güncel kalmak ve güvenlik ayarlarını gözden geçirmek büyük önem taşımaktadır.
Yeni Linux Tehdidi: ClipXDaemon
Bu gibi tehditler yanında, Cyble tarafından açıklanan ve kripto para kullanıcılarını hedef alan yeni bir Linux tehdidi olan ClipXDaemon da dikkat çekmektedir. Clipboard adreslerini izleyip değiştirebilen bu malware, otomatik bir işlemci olan ShadowHS aracılığıyla dağıtılmakta.
Kullanıcıların, cüzdan adreslerini korumaları ve sistemlerini güvenli bir şekilde güncellemeleri büyük önem taşıyor.
