BotenaGo Botnet

Vahşi doğada BotenaGo adlı yeni bir botnet tespit edildi. Tehdit, milyonlarca savunmasız IoT (Nesnelerin İnterneti) cihazına ve yönlendiricisine bulaşma kapasitesine sahiptir. Gerçekten de, tehdidin bir örneğini analiz ettikten sonra, AT&T'deki araştırmacılar, yönlendiricilerde, modemlerde ve NAS cihazlarında bulunan 33'ün üzerinde güvenlik açığından yararlanabileceğini keşfetti. Hedeflenen makinelerden bazıları D-link yönlendiricileri (CVE-2015-2051, CVE-2020-9377, CVE-2016-11021 aracılığıyla), Realtek SDK tabanlı yönlendiricileri (CVE-2019-19824), ZTE Modemleri (CVE-2014) içerir. -2321), Netgear cihazları (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) ve daha fazlası.

Adından da anlaşılacağı gibi, BotenaGo botnet, Go programlama dili kullanılarak oluşturulur. Go, tehditleri hem tespit etmeyi hem de tersine mühendislik yapmayı zorlaştırırken platformlar arası işlevsellik sunduğu için son birkaç yıldır siber suçlular arasında popülerlik kazanıyor.

Tehdit Eden İşlevsellik

Hedeflenen cihaza yerleştirildiğinde, BotenaGo kötü amaçlı yazılımı iki belirli bağlantı noktasında dinleme rutinleri oluşturacaktır - 31412 ve 194121. Tehdit, saldırganlar tarafından kendisine bir IP adresi sağlanmasını beklemektedir. Uygun bir IP aldıktan sonra, BotenaGo erişim elde etmek amacıyla güvenlik açıklarından yararlanmaya devam edecektir. Ardından, cihazı botnetine eklemek için birkaç kabuk komutu çalıştıracaktır. Tehdit, birkaç farklı bağlantı aracılığıyla hedeflenen cihaza uygun bir yük getirir.

Henüz Çalışmıyor

Araştırmacılar, barındırma sunucusundan herhangi bir yük elde edemediler ve BotneaGo ile Komuta ve Kontrol (C2, C&C) sunucusu arasında herhangi bir iletişim tespit etmediler. Somut bir açıklama için yeterli veri yok ancak bilgi güvenliği uzmanlarının üç olası senaryosu var:

1. Bulunan BotenaGo botnet, çok aşamalı kötü amaçlı yazılım saldırısının parçası olan birkaç modülden yalnızca biridir.
2. Tehdit, Mirai operatörleri tarafından kullanılan yeni bir araç olabilir. Bu varsayım, yükleri teslim etmek için kullanılan birkaç bağlantı tarafından desteklenir.
3. C2 iletişiminin olmaması, BotenaGo'nun henüz dağıtıma hazır olmadığının ve araştırmacılar tarafından yakalanan örneğin yanlışlıkla vahşi doğada serbest bırakıldığının bir işareti olabilir.

Kullanıcılar ve şirketler, tehdidin IoC'lerini (Uzlaşma Göstergeleri) not etmeli ve yeterli karşı önlemleri uygulamalıdır.