Amazon
New member
Ünlü Mirai virüsüne dayanan Gayfemboy botneti şu anda tüm dünyaya yayılıyor. Kötü amaçlı yazılım, 20'den fazla açık güvenlik açığından yararlanarak yönlendiriciler de dahil olmak üzere binlerce cihazın kontrolünü ele geçirmeyi başardı. Kısa ama güçlü siber saldırılar başlatmak için bunu kullanır.
Chainxin X Lab araştırmacıları Gayfemboy adında yeni bir botnet keşfetti, yoğun bir yayılma sürecinden geçiyor. Kötü amaçlı yazılım esas olarak hedef alıyor yönlendiriciler ve bağlı cihazlar.
Botnet'in tercih edilen hedefleri arasında Four-Faith ve Neterbit markalarının yönlendiricileri veya Vimar'ın ev otomasyonu ve akıllı evlerine yönelik bağlantılı nesneler yer alıyor. Hedefler ayrıca Asus, LB-Link veya Huawei yönlendiricilerini de içerir.
Bu cihazların kontrolünü ele geçirmek için botnet'ten yararlanılıyor sıfır gün güvenlik açıkları. Bunlar, bırakın geliştiriciler tarafından düzeltilmeyi, henüz keşfedilmemiş güvenlik açıklarıdır. Bu siber suçlular için bir nimettir. Uzmanlara göre Gayfemboy 20'den fazla farklı güvenlik açığına güveniyor.
Bilgisayar korsanları, nihayet geçen ay, botnet kullanmaya başladıktan çok sonra keşfedilen bir güvenlik açığından yararlandı. Bu kusur, saldırganların herhangi bir kimlik doğrulaması olmadan uzak komutları yürütmek için yönlendiricinin varsayılan kimlik bilgilerinden yararlanmasına olanak tanır. Fiilen, yönlendiricinin tam kontrolünü ele alıyorlar. Son gelen haberlere göre bu güvenlik açığı şunları etkiliyor: 15.000'den fazla Dört İnançlı yönlendirici.
Mirai botnet'in bir çeşidi
Gayfemboy botneti aşağıdakilere dayanmaktadır: Mirai'nin kaynak koduİlk olarak 2016'da tanımlanan müthiş bir kötü amaçlı yazılım. Başlangıçta, varsayılan olarak tanımlayıcılara veya zayıf şifrelere güvenerek esas olarak bağlı kameralar, yönlendiriciler ve diğer akıllı cihazlar gibi IoT (Nesnelerin İnterneti) cihazlarını hedef alıyordu. Tüm kaynakları tekeline almak için virüslü cihazlardaki rakip kötü amaçlı yazılımları sildiği biliniyor.
Kaynak kodu, yaratıcıları tarafından hızla kamuya açıklandı ve bu da diğer siber suçluların onu değiştirmesine ve Mozi, Okiru veya Satori gibi zorlu varyantlar oluşturmasına olanak sağladı.
Geçtiğimiz yılın başından bu yana aktif olan Gayfemboy botnet'i ağırlıklı olarak Çin, ABD, Rusya, Türkiye ve İran'da faaliyet gösteriyor. Ağ şu anda şunları içermektedir: 15.000 virüslü cihazbu farklı ülkelere dağılmış durumda. Aralıklı dalgalar halinde yayılır.
Bu, dünyaya yayılan tek Mirai çeşidi değil. Birkaç gün önce Fortinet siber güvenlik araştırmacıları, Mirai'nin D-Link marka yönlendiricilerdeki güvenlik açıklarından yararlanmak üzere özel olarak tasarlanmış bir başka versiyonu olan Ficora tarafından gerçekleştirilen enfeksiyonlarda açık bir artış tespit etti.
DDoS saldırılarının başlangıç noktası
Chainxin X Lab tarafından sabitlenen yeni botnet, Ficora'yı yansıtarak DDoS saldırılarını düzenlemek için güvenliği ihlal edilmiş cihazları kullanıyor (örn. Dağıtılmış Hizmet ReddiVeya dağıtılmış hizmet reddi Fransızca). Botnet, saldırıya uğramış terminaller ağı aracılığıyla, hedeflenen web sitesinin sunucularını bir yığın istekle dolduracaktır. Bu istek dalgası, hedeflenen siteyi geçici olarak felç edecektir.
Tipik olarak Gayfemboy botnet saldırıları uzun sürmez. 30 saniyeyi aşmazlar ancak özellikle güçlü. En sağlam sunucular korsan ağının saldırıları altında bocalama riskiyle karşı karşıyadır. Kurbanlar çoğunlukla Çin, ABD, Almanya, İngiltere ve Singapur'da bulunuyor ve çeşitli sektörlerden geliyor.
Chainxin X Lab raporuna göre, Gayfemboy'un ele geçirdiği cihaz ağı her gün yüzlerce farklı varlığa saldırıyor. Saldırıların sayısında özellikle Ekim ve Kasım 2024 ayları arasında patlama yaşandı.
Chainxin
Chainxin X Lab araştırmacıları Gayfemboy adında yeni bir botnet keşfetti, yoğun bir yayılma sürecinden geçiyor. Kötü amaçlı yazılım esas olarak hedef alıyor yönlendiriciler ve bağlı cihazlar.
Botnet'in tercih edilen hedefleri arasında Four-Faith ve Neterbit markalarının yönlendiricileri veya Vimar'ın ev otomasyonu ve akıllı evlerine yönelik bağlantılı nesneler yer alıyor. Hedefler ayrıca Asus, LB-Link veya Huawei yönlendiricilerini de içerir.
Sıfır gün güvenlik açıklarından yararlanıldı
Bu cihazların kontrolünü ele geçirmek için botnet'ten yararlanılıyor sıfır gün güvenlik açıkları. Bunlar, bırakın geliştiriciler tarafından düzeltilmeyi, henüz keşfedilmemiş güvenlik açıklarıdır. Bu siber suçlular için bir nimettir. Uzmanlara göre Gayfemboy 20'den fazla farklı güvenlik açığına güveniyor.
Bilgisayar korsanları, nihayet geçen ay, botnet kullanmaya başladıktan çok sonra keşfedilen bir güvenlik açığından yararlandı. Bu kusur, saldırganların herhangi bir kimlik doğrulaması olmadan uzak komutları yürütmek için yönlendiricinin varsayılan kimlik bilgilerinden yararlanmasına olanak tanır. Fiilen, yönlendiricinin tam kontrolünü ele alıyorlar. Son gelen haberlere göre bu güvenlik açığı şunları etkiliyor: 15.000'den fazla Dört İnançlı yönlendirici.
Mirai botnet'in bir çeşidi
Gayfemboy botneti aşağıdakilere dayanmaktadır: Mirai'nin kaynak koduİlk olarak 2016'da tanımlanan müthiş bir kötü amaçlı yazılım. Başlangıçta, varsayılan olarak tanımlayıcılara veya zayıf şifrelere güvenerek esas olarak bağlı kameralar, yönlendiriciler ve diğer akıllı cihazlar gibi IoT (Nesnelerin İnterneti) cihazlarını hedef alıyordu. Tüm kaynakları tekeline almak için virüslü cihazlardaki rakip kötü amaçlı yazılımları sildiği biliniyor.
Kaynak kodu, yaratıcıları tarafından hızla kamuya açıklandı ve bu da diğer siber suçluların onu değiştirmesine ve Mozi, Okiru veya Satori gibi zorlu varyantlar oluşturmasına olanak sağladı.
Geçtiğimiz yılın başından bu yana aktif olan Gayfemboy botnet'i ağırlıklı olarak Çin, ABD, Rusya, Türkiye ve İran'da faaliyet gösteriyor. Ağ şu anda şunları içermektedir: 15.000 virüslü cihazbu farklı ülkelere dağılmış durumda. Aralıklı dalgalar halinde yayılır.
Bu, dünyaya yayılan tek Mirai çeşidi değil. Birkaç gün önce Fortinet siber güvenlik araştırmacıları, Mirai'nin D-Link marka yönlendiricilerdeki güvenlik açıklarından yararlanmak üzere özel olarak tasarlanmış bir başka versiyonu olan Ficora tarafından gerçekleştirilen enfeksiyonlarda açık bir artış tespit etti.
DDoS saldırılarının başlangıç noktası
Chainxin X Lab tarafından sabitlenen yeni botnet, Ficora'yı yansıtarak DDoS saldırılarını düzenlemek için güvenliği ihlal edilmiş cihazları kullanıyor (örn. Dağıtılmış Hizmet ReddiVeya dağıtılmış hizmet reddi Fransızca). Botnet, saldırıya uğramış terminaller ağı aracılığıyla, hedeflenen web sitesinin sunucularını bir yığın istekle dolduracaktır. Bu istek dalgası, hedeflenen siteyi geçici olarak felç edecektir.
Tipik olarak Gayfemboy botnet saldırıları uzun sürmez. 30 saniyeyi aşmazlar ancak özellikle güçlü. En sağlam sunucular korsan ağının saldırıları altında bocalama riskiyle karşı karşıyadır. Kurbanlar çoğunlukla Çin, ABD, Almanya, İngiltere ve Singapur'da bulunuyor ve çeşitli sektörlerden geliyor.
Chainxin X Lab raporuna göre, Gayfemboy'un ele geçirdiği cihaz ağı her gün yüzlerce farklı varlığa saldırıyor. Saldırıların sayısında özellikle Ekim ve Kasım 2024 ayları arasında patlama yaşandı.
Kaynak :01net'ten hiçbir haberi kaçırmamak için bizi Google Haberler ve WhatsApp'tan takip edin.
Chainxin