RustDuck: Yeni Bir Tehdit Oluşturuyor
Yeni bir iki aşamalı zararlı yazılım ailesi olan RustDuck, ev yönlendiricileri, IP kameralar, Android kutuları ve zayıf korunmuş sunucuları hedef alarak, bu cihazları çevrimdışı bırakmak için oluşturulmuş bir ağa bağlamakta. QiAnXin’in XLab araştırmacıları, bunu Şubat 2026’dan beri takip etmekte ve bu zararlı yazılımın ne kadar büyük olduğundan ziyade, ne kadar hızlı bir şekilde değiştiğinin altını çizmektedirler.
Saldırı Nasıl Çalışıyor?
RustDuck, tek bir kurnaz trik kullanmaktan ziyade, eski, iyi bilinen zayıflıkları bir arada kullanarak yayılmayı hedeflemektedir. İlk olarak, cihazların internet üzerinde zayıf veya varsayılan parolalarla açık bırakılması en eski taktiğidir.
Araştırmanın bulgularına göre, RustDuck şu yöntemlerle yayılmaktadır:
- Varsayılan ve Zayıf Parolalar: Uzaktan erişim hizmetleri (Telnet ve SSH) için zayıf parolalar kullanılarak cihazlara girmek.
- Yamanmamış Cihaz Hataları: RustDuck, Android hata ayıklama arayüzü gibi açıkları hedef alır ve TVT, Ruijie, TP-Link ve ZTE gibi markalardaki hatalardan yararlanır.
- Web Yazılımlarındaki Güvenlik Açıkları: RustDuck, ThinkPHP, Jenkins ve Hadoop YARN gibi bilinen yazılımlardaki boşlukları da hedef alır.
XLab, bu zararlı yazılımı yaymak için 20’den fazla internet adresinin kullanıldığını belirtmektedir. Bunlar arasında en yoğun olan adres ise 176.65.139[.]204‘tadır.
RustDuck’un Karmaşıklığı
RustDuck iki aşamada kurulmaktadır: Öncelikle bir yükleyici küçük bir modülü şifre çözüp açarken, bu modülün çekirdek kısmı Rust dilinde yazılmıştır. Rust, analiz edilmesi C diline göre daha zor olan bir dil olarak bilinir ve RustDuck’un çekirdek yapısı, anahtar çıkarımı ve sunucularla iletişim varış şekli açısından derinlikli bir mühendislik sergilemektedir.
RustDuck’un mevcut sürümleri, hedef cihazın bir güvenlik araştırmacısının laboratuvarında olup olmadığını tespit etmek için bir dizi kontrol gerçekleştirmektedir:
- Analiz araçları (Wireshark, gdb) var mı?
- Sanallaştırma donanımı tanımlanabiliyor mu?
Bu kontrollerden biri, yanıt vermemesi gereken bir test adresine ulaşmaya çalışarak, eğer yanıt alırsa, zararlı yazılımın sahte bir ağda bulunduğunu anlar ve kendini silerek çalışmayı durdurur.
Etkilenen Sistemler
RustDuck, daha önceden bilinen diğer botnetlerle bazı benzerlikler taşımaktadır. Nisan 2025’te Fortinet tarafından belgelenen RustoBot, benzer bir yol izleyerek, DDoS saldırıları için yayılmaktadır. 2025’teki botnetler özellikle düşük maliyetli cihazları hedef alarak büyük trafik akışları oluşturmuşlardır.
Çözüm ve Korunma
RustDuck için doğrudan bir yamanın olmadığını belirtmek önemlidir çünkü bu bir zararlı yazılımdır, tek bir hata değildir. Korunmak için şu önlemleri almanız gerekir:
- Uzaktan yönetim arayüzlerini halka açık internetten kapatın. Android Debug Bridge, Telnet ve SSH gibi erişimleri gereksiz yere açık bırakmayın ve varsayılan parolalarla bırakmayın.
- Yamanabileceğiniz sistemleri güncelleyin, güncellenemeyenleri değiştirmeyi düşünün. Örneğin, D-Link DIR-823X için CISA, hizmetten çekilmesini öneriyor.
- Bilinmekte olan göstergeleri engelleyin. XLab’ın raporunda listelenen dosya hash’leri, kontrol alanları ve kaynak adresleri izleme sisteminize entegre edin.
RustDuck, küçük bir botnet gibi görünse de, ciddi bir botnetin mühendisliği ile donatılmıştır. Nasıl bir tehdit olacağı veya yayılıp yayılmayacağı belirsizdir. Ancak, test edilen teknikler, diğer gruplar tarafından kolaylıkla benimsenebilir.
