Tehdit Veritabanı Kötü amaçlı yazılım AryStinger Kötü Amaçlı Yazılımı

AryStinger Kötü Amaçlı Yazılımı

AryStinger adı verilen yeni keşfedilen bir kötü amaçlı yazılım ailesi, terk edilmiş ev yönlendiricilerini, ele geçirilmiş ağ cihazlarıyla yaygın olarak ilişkilendirilen geleneksel dağıtılmış hizmet reddi (DDoS) botnet'lerinden ziyade, büyük ölçekli bir keşif ve proxy ağına dönüştürüyor. Güvenlik araştırmacıları şimdiden en az 4.300 enfekte yönlendirici tespit etti ve bu sayının artmaya devam etmesi bekleniyor.

Hizmetleri aksatmaya odaklanan geleneksel kötü amaçlı yazılım kampanyalarının aksine, AryStinger siber saldırıların erken aşamalarını desteklemek üzere tasarlanmıştır. Ele geçirilen cihazlar, interneti taramak, çalışan hizmetleri belirlemek, alt alan adlarını listelemek, ağ trafiğini tünellemek ve toplanan istihbaratı operatörlere geri iletmeden önce uzaktan komutlar yürütmek için kullanılır. Her enfekte olmuş yönlendirici, etkili bir şekilde hem bir keşif düğümü hem de saldırganın gerçek kaynağını gizleyen bir anonimleştirme rölesi görevi görür.

Eski Donanımları ve Uzun Zamandır Unutulmuş Güvenlik Açıklarını Hedeflemek

Kampanya öncelikle 2012 ile 2015 yılları arasında yaygın olarak kullanılan Realtek RTL819X yonga setleriyle çalışan yönlendiricileri hedef alıyor. Araştırmacılar, kötü amaçlı yazılımı ilk olarak 12 Mart 2026'da, tek bir IP adresinden kaynaklanan enfeksiyonlar sırasında tespit etti.

Dağıtılan kötü amaçlı yazılım, başlangıçta VirusTotal'deki tüm tarama motorları tarafından tespit edilemeyen bir Linux ELF ikili dosyasıydı. İki eski güvenlik açığından yararlanarak enfeksiyonu gerçekleştirdi:

  • CVE-2013-3307 güvenlik açığı, bazı Linksys yönlendiricilerini etkiliyor.
  • CVE-2016-5681, belirli D-Link cihazlarını etkiliyor.

Etkilenen sistemlerin çoğu D-Link ürünleridir ve enfeksiyonların yaklaşık %75'ini DIR-850L modeli oluşturmaktadır. Coğrafi olarak enfeksiyonlar Güney Kore (%48) ve Çin'de (%32) yoğunlaşmış olup, bunları İsveç, Malezya ve Singapur takip etmektedir.

Yönlendiricilerin Ötesinde Genişleme

26 Nisan 2026'da, QNAP'ın Malware Remover yardımcı programını etkileyen CVE-2025-11837 kodlu kod enjeksiyonu güvenlik açığı aracılığıyla QNAP NAS cihazlarını hedef alan ikinci bir kötü amaçlı yazılım varyantı ortaya çıktı. Güvenlik açığı Kasım 2025'te yamalanmış olmasına rağmen, saldırganlar birkaç ay sonra bu açığı istismar etmeye başladı.

İronik bir şekilde, enfeksiyon vektörü NAS cihazının kendi kötü amaçlı yazılım temizleme uygulamasıdır. Bildirilen 4.300 adet tehlikeye girmiş sistem sayısı yalnızca enfekte olmuş RTL819X yönlendiricilerini içermekte olup, etkilenen NAS cihazlarını hesaba katmamaktadır.

Güçlü Özelliklere Sahip Hafif Zararlı Yazılım

AryStinger'ın yönlendirici sürümü C dilinde yazılmıştır ve eski donanımların sınırlı kaynakları nedeniyle kasıtlı olarak hafif tutulmuştur. Başlıca işlevleri toplu DNS taraması ve trafik tünellemesidir.

Go dilinde geliştirilen NAS sürümü, önemli ölçüde daha geniş yetenekler sunuyor. Hem iç hem de dış ağları tarayabiliyor ve fscan, ksubdomain ve httpx gibi keşif araçlarını çalıştırabiliyor. ScriptWork olarak bilinen bir özellik, operatörlerin saldırgan tarafından sağlanan Go, Java veya Python kaynak kodunu doğrudan enfekte olmuş sistemde çalıştırmasına olanak tanıyarak, her hedef için ayrı ikili dosyalar derleme ihtiyacını ortadan kaldırıyor.

Virüs bulaşmış cihazlar ve komuta-kontrol (C2) sunucuları arasındaki iletişim, basit bir XOR şemasıyla gizlenmiş Protobuf kodlu trafik kullanılarak HTTP ve HTTPS üzerinden gerçekleşirken, Go tabanlı varyant gzip sıkıştırması da ekler. Büyük tarama görevleri daha küçük parçalara bölünür ve botnet genelinde dağıtılarak paralel keşif operasyonlarına olanak sağlanır.

Israr ve Kötüye Kullanım Potansiyeli

Kötü amaçlı yazılım, yönlendiriciler için 2332 numaralı bağlantı noktasında bir Dropbear SSH sunucusu ve ele geçirilen NAS sistemlerinde gs-netcat çalıştırarak uzun süreli erişim sağlıyor. Araştırmacılar ayrıca, '2024' rakamının yer aldığı ve operasyonun geliştirilmesine o yıl başlandığını gösterebilecek, ancak kesin olarak doğrulanamayan, sabit kodlanmış bir kimlik doğrulama anahtarı olan 'sh_#@!_2024_secret'i de tespit etti.

Her ne kadar asıl amaç keşif yapmak gibi görünse de, kötü amaçlı yazılımın DNS tarama yetenekleri, gerektiğinde hizmet reddi saldırısı trafiği oluşturmak için DNS çözümleyicilerine de yönlendirilebilir.

Tanıdık Bir Desen: Operasyonel Röle Kutusu Ağları

AryStinger tarafından oluşturulan altyapı, Operasyonel Röle Kutusu (ORB) ağlarına oldukça benzemektedir. Bu ağlar, tehdit aktörlerinin tarama işlemleri gerçekleştirmesine ve kötü amaçlı trafiği iletmesine olanak tanıyan, izlenmesi zor olan, ele geçirilmiş kullanım ömrü sona ermiş yönlendiricilerden ve IoT cihazlarından oluşmaktadır.

Bu yaklaşım, önceki olayları anımsatıyor. Mayıs 2025'te FBI ve ABD Adalet Bakanlığı, TheMoon kötü amaçlı yazılımıyla enfekte olmuş eski Linksys ve Cisco yönlendiricilerini kullanarak konut proxy erişiminden para kazanan 5socks ve Anyproxy hizmetlerini çökertti. Daha yakın zamanlarda, LapDogs gibi ORB operasyonları da benzer şekilde eski cihazlardaki yamalanmamış güvenlik açıklarına dayandı.

Şu anda AryStinger'ın kesin olarak belirli bir tehdit aktörüne atfedildiği söylenemez. Bununla birlikte, operasyonel model tartışılmaz: eski donanımlar ve unutulmuş güvenlik açıkları, gelişmiş siber saldırıların ilk aşamalarını destekleyen gizli bir altyapıya dönüştürülüyor.

Tespit ve Azaltma Stratejileri

Etkilenebilecek ekipmanları kullanan kuruluşlar ve bireyler, derhal güvenlik ihlali belirtilerini araştırmalı ve uzun vadeli iyileştirme önlemleri uygulamalıdır.

  • AryStinger komuta ve kontrol sunucularına ve indirme alanlarına giden bağlantıları izleyin.
  • /tmp/bin dizininde bilinmeyen ikili dosyalar olup olmadığını kontrol edin.
  • Syswapd0h veya syswapd0w isimli şüpheli işlemleri arayın.

En etkili savunma yöntemi oldukça basittir: Artık yazılım güncellemesi almayan, kullanım ömrünü tamamlamış ağ ekipmanlarını devre dışı bırakın ve internete açık cihazlarda uzaktan yönetimi mümkün olduğunca devre dışı bırakın. Yıllar önce güvenlik yamaları almayı bırakmış donanımların modern tehditlere karşı korunması olası değildir.

En çok görüntülenen

Yükleniyor...