Mirai tabanlı solucan RapperBot, IoT cihazlarını hedef alıyor

Siber suçlular, her geçen gün bireyleri ayrıca şirketleri tehlikeye atmanın yeni yollarını keşfederek becerilerini ayrıca araçlarını sürekli geliştiriyor. Kaspersky, son Securelist blog yazısında saldırganlar tarafınca kullanılan ayrıca yaygın olmayan bulaşma yöntemlerini mercek altına aldı. Yazıda diğer keşiflerin yanı sıra, HTTP harici hedeflere karşı DDoS saldırıları başlatmak amacıyla IoT cihazlarına bulaşan Mirai tabanlı bir solucan olan RapperBot hakkındaki detaylara da yer verildi. Yazıda bahsedilen diğer yöntemler arasında bilgilendirme hırsızı Rhadamanthys ayrıca muhtemelen BitTorrent ayrıca One Driayrıca aracılığıyla dağıtılan açık kaynaklı kötü amaçlı yazılımları temel alan CUEMiner de yer alıyor.

RapperBot ilk olarak Haziran 2022’de verileri düz metin olarak aktaran Telnet hizmetleri yerine, kurulan şifreli iletişim sayesinde dosya aktarmanın güvenli bir yolu olarak kabul edilen Secure Shell protokolünü (SSH) hedef almasıyla dikkat çekmişti. Ancak RapperBot’un son sürümü SSH işlevselliğini kaldırarak yalnızca Telnet’e odaklanmaya başlandı ayrıca bunda da oldukça başarılı. 2022 yılının 4. çeyreğinde, RapperBot bulaşma girişimleri 2 binden fazla benzersiz IP adresi üzerinden 112 binden fazla kullanıcıyı hedef aldı.

RapperBot’u diğer solucanlardan ayıran şey “akıllı kaba kuvvet” kullanması. Yani tehdit komut istemcisini kontrol ediyor ayrıca buna uygun olacağını düşünülen kimlik bilgilerini seçiyor. Bu yöntem, büyük bir kimlik bilgileri listesini gözden geçirme ihtiyacını ortadan kaldırdığı için kaba kuvvetle şifre zorlama sürecini önemli ölçüde hızlandırıyor. Aralık 2022’de RapperBot’un en fazla sayıda cihaza bulaştığı ilk üç ülke Tayvan, Güney Kore ayrıca Amerika Birleşik Devletleri oldu.

Kaspersky’nin blog yazısında yer alan bir diğer yeni kötü amaçlı yazılım ailesi, ilk olarak 2021’de Github’da ortaya çıkan açık kaynaklı bir kötü amaçlı yazılıma dayanan CUEMiner oldu. En son sürümü Ekim 2022’de keşfedilen CUEMiner, madencinin kendisini ayrıca “izleyici” olarak adlandırılan bir yazılımı içeriyor. Bu program, kurbanın bilgisayarında video oyunu gibi ağır yük gerektiren bir işlem başlatıldığında sistemi izlemeye alıyor.

Kaspersky, CUEMiner’i araştırırken zararlı yazılımın iki yöntemle yayıldığını tespit etti. Bunlardan ilki, BitTorrent üzerinden indirilen ayrıca Truva atı içerek kırık yazılımlar. Diğer yöntem ise OneDriayrıca paylaşım ağlarından indirilen Truva atı içeren kırık yazılımlar. Yayının yayınlandığı sırada doğrudan bağlantılar henüz mevcut olmadığından, kurbanların bu kırılmış paketleri indirmeye nasıl ikna edildiği konusu belirsizliğini koruyor. Bununla birlikte, bugünlerde birçok korsan sitesi hemen indirme sağlamıyor. Bunun yerine daha fazla bilgilendirme için Discord sunucu kanallarına yönlendirme yapıyorlar. Bu da arada bir tür insan etkileşimi ayrıca sosyal mühendislik olduğuna dair şüpheleri güçlendiriyor.

CUEMiner kurbanları dünyanın her yerinde

Bu tür “açık kaynaklı” kötü amaçlı yazılımlar amatör ya da vasıfsız siber suçlular arasında oldukça popüler, çünkü büyük kampanyaların kolayca yürütülmesine olanak tanıyor. CUEMiner kurbanları şu anda dünyanın her yerinde görülebiliyor, hatta bazıları kurumsal ağlarda yer alıyor. KSN telemetrisine göre en fazla sayıda kurban Brezilya, Hindistan ayrıca Türkiye’de bulunuyor. Son olarak Kaspersky blog yazısında, Google reklamcılığını kötü amaçlı yazılım dağıtma ayrıca sunma aracı olarak kullanan bir diğer bilgilendirme hırsızı olan Rhadamanthys hakkındaki yeni bulgulara yer verildi. Detaylar Mart 2023’te Securelist’te yer aldıktan sonra, Rhadamanthys’in doğrudan kripto para madenciliğini hedefleyen Hidden Bee madencisiyle güçlü bir bağlantısı olduğu ortaya çıktı. Her iki örnek de zararlı yükü görsel dosyalarının içinde saklıyor ayrıca önyükleme sırasında benzer kabuk kodlarını paylaşıyor. Ek olarak, her iki örnek de “bellek içi sanal dosya sistemlerini” ayrıca eklentileri ayrıca modülleri yüklemek için Lua dilini kullanıyor.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Jornt van der Wiel, şunları söylüyor: “Açık kaynaklı kötü amaçlı yazılımlar, kodların tekrardan kullanımı ayrıca tekrardan markalama, siber suçlular tarafınca yaygın olarak kullanılan yöntemler. Bu durum acemi saldırganların bile artık büyük ölçekli kampanyalar gerçekleştirebileceği ayrıca dünyanın dört bir yanındaki kurbanları hedef alabileceği anlamına geliyor. Dahası, kötü amaçlı reklam yazılımları, kötü amaçlı yazılım grupları arasında halihazırda yüksek talep gören popüler bir trend haline geliyor. Bu tür saldırılardan kaçınmak ayrıca şirketinizi tehlikeye atılmaktan korumak için siber güvenlik alanında neler olup bittiğinin farkında olmak ayrıca mevcut en yeni koruma araçlarını kullanmak büyük önem taşıyor.”

Securelist’te siber suçlular tarafınca kullanılan yeni bulaşma yöntemleri ayrıca teknikleri hakkında daha fazla bilgilendirme edinebilirsiniz.

Kendinizi ayrıca işletmenizi fidye yazılımı saldırılarından korumak için Kaspersky şu tavsiyelerde bulunuyor:

• Kesinlikle gerekli olmadıkça uzak masaüstü hizmetlerini (RDP gibi) genel ağlara açmayın ayrıca bunlar için her vakit güçlü parolalar kullanın. 
• Uzaktan çalışanlar için erişim sağlayan ayrıca ağınızda ağ geçidi görevi gören ticari VPN çözümleri için çıkan mevcut yamaları derhal yükleyin. 
• Savunma stratejinizi yanal hareketleri ayrıca internete veri sızıntısını tespit etmeye odaklayın. Siber suçluların bağlantılarını tespit etmek için giden yöndeki trafiğe özellikle dikkat edin.
• Verilerinizi düzenli olarak yedekleyin. Gerektiğinde acil bir durumda yedeklerinize hızlıca erişebileceğinizden emin olun. 
• Kaspersky Endpoint Detection and Response Expert ve Kaspersky Managed Detection and Response hizmeti gibi, saldırganlar nihai hedeflerine ulaşmadan önce saldırıyı erken aşamalarda tespit etmeye ayrıca durdurmaya yardımcı olan güvenlik çözümleri kullanın.
• Tehdit aktörleri tarafınca kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı bilgilerine başvurun. Kaspersky Tehdit İstihbaratı Portalı, Kaspersky tehdit istihbaratı için ortak erişim noktasıdır ayrıca 25 yıldır Kaspersky ekibi tarafınca toplanan siber saldırı verilerini ayrıca içgörülerini sağlar. Kaspersky, işletmelerin bu zor zamanlarda etkili siber savunma sağlamasına yardımcı olmak için, devam eden siber saldırılar ayrıca tehditler hakkında bağımsız, sürekli güncellenen ayrıca küresel kaynaklı bilgilere ücretsiz olarak erişim sunuyor. Teklife buradan erişim talep edebilirsiniz. 

Kaynak: (BYZHA) Beyaz Haber Ajansı