KadNap Botnet: ASUS Yönlendiricilerini Hedef Alıyor
KadNap adlı yeni keşfedilen botnet zararlısı, ASUS yönlendiricilerini ve diğer kenar ağ cihazlarını hedef alarak bunları kötü niyetli trafiğe proxy olarak kullanmakta. Bu durum, ağ güvenliğini tehdit eden yeni bir siber saldırı yöntemi olarak karşımıza çıkıyor.
Saldırı Nasıl Çalışıyor?
KadNap enfeksiyonu, 212.104.141[.]140 adresinden kötücül bir betik (aic.sh) indirilmesi ile başlamakta. Bu betik, her 55 dakikada bir çalışacak şekilde bir cron işi oluşturarak kalıcılığı sağlıyor. Kötücül yük ise, KadNap istemcisini kuran bir ELF ikili dosyası olan kad adıyla biliniyor.
Aktif hale geldikten sonra malware, ev sahibinin dış IP adresini belirliyor ve mevcut zamanı ve sistem açılış süresini elde etmek için birkaç Ağ Zaman Protokolü (NTP) sunucusuna bağlanıyor. KadNap, her node’un verinin alt kümesini yönetmesi sayesinde komut ve kontrol (C2) altyapısını tespit etmeyi zorlaştıran, özel bir Kademlia Tabanlı Dağıtılmış Hash Tablosu (DHT) protokolü kullanarak gizlilik sağlıyor.
Etkilenen Sistemler
Enfekte cihazların büyük bir kısmı ABD’de bulunmaktadır ve bu, toplamın %60’ını oluşturmaktadır. Diğer önemli yüzdeler ise Tayvan, Hong Kong ve Rusya gibi ülkelerde görülmektedir. KadNap ağı, 2025 yılı itibarıyla 14,000 cihazı aynı anda barındırmakta ve sürekli bir peer-to-peer bağlantısı kurarak kendisine ait C2 altyapısına bağlanmaktadır.
Monetize Etme Yöntemleri
KadNap botnetinin, daha önce ASUS yönlendiricilerini hedef alan TheMoon malware botnet’ine bağlantısı olduğu düşünülen Doppelganger adlı proxy hizmeti ile ilişkili olduğu bildirilmektedir. Doppelganger, enfekte cihazlara erişimi, kötü niyetli trafiğin yönlendirilmesi, taklit katmanları oluşturma ve kara liste engelleme gibi işlemler için satmaktadır.
Bu tür hizmetler genellikle dağıtılmış hizmet reddi (DDoS) saldırıları, kimlik bilgisi dolandırıcılığı ve kaba kuvvet saldırıları için kullanılmakta ve bu hepsinin başlangıç noktası KadNap kurbanlarıdır. Lumen, KadNap botnetine karşı proaktif tedbirler alarak, yayınlandığı anda tüm ağ trafiğini bu kontrol altyapısından engellediğini belirtmiştir.
Çözüm ve Korunma
Etkilenen kullanıcılar için önerilerimiz şunlardır:
- Yazılım Güncellemeleri: Tüm cihazların yazılımlarını ve firmware’lerini güncel tutun.
- Port Kapatma: Gerekli olmayan portları kapatın ve yönlendiricilerinizdeki uzaktan yönetim özelliklerini devre dışı bırakın.
- Ağ Güvenliği: Güvenlik duvarı kullanarak kötü niyetli trafiği engellemeye çalışın.
Sonuç olarak, bu tür zararlı yazılımlara karşı dikkatli olmak, cihazları uygun şekilde yapılandırmak ve güncellemeleri sürekli kontrol etmek hayati önem taşımaktadır. Güvenliğinizi sağlamak için yukarıdaki adımları izleyin ve ilave bilgi için güvenlik raporlarına başvurun.
