Nexcorium Botnet
Siber güvenlik araştırmaları, tehdit aktörlerinin TBK DVR sistemlerindeki ve kullanım ömrünü tamamlamış TP-Link Wi-Fi yönlendiricilerindeki güvenlik açıklarından aktif olarak yararlanarak Mirai botnet'inin varyantlarını yaydığını ortaya koyuyor. Güvenlik stratejilerinde genellikle göz ardı edilen bu cihazlar, eski yazılımları, zayıf yapılandırmaları ve seyrek yama güncellemeleri nedeniyle cazip giriş noktaları sunuyor. Yaygın kullanımları, büyük ölçekli siber saldırılarda hedef olarak değerlerini daha da artırıyor.
İçindekiler
Bilinen Güvenlik Açıklarından Yararlanarak İlk Erişimi Sağlama
TBK DVR cihazlarını hedef alan kampanya, DVR-4104 ve DVR-4216 modellerini etkileyen orta düzeyde önem derecesine sahip bir komut enjeksiyonu güvenlik açığı olan CVE-2024-3721'i (CVSS puanı: 6.3) kullanmaktadır. Saldırganlar bu güvenlik açığından yararlanarak Nexcorium olarak bilinen Mirai tabanlı bir zararlı yazılım yaymaktadır. Bu güvenlik açığı daha önceki kampanyalarda da fark edilmişti; daha önce hem Mirai varyantlarını hem de ortaya çıkan RondoDox botnet'ini yaymak için kullanılmıştı.
Ek olarak, daha önceki araştırmalar, yönlendiriciler, IoT cihazları ve kurumsal uygulamalar genelinde zayıf kimlik bilgilerini ve eski güvenlik açıklarını kötüye kullanarak RondoDox, Mirai ve Morte dahil olmak üzere birden fazla kötü amaçlı yazılım ailesini dağıtmaktan sorumlu bir yükleyici-hizmet olarak ekosistemini ortaya koymuştur.
Enfeksiyon Zinciri ve Yük Dağıtımı
Saldırı dizisi, DVR güvenlik açığından yararlanılarak bir indirme komut dosyasının çalıştırılmasıyla başlar. Bu komut dosyası, hedef sistemin Linux mimarisini tanımlar ve uygun botnet yükünü yürütür. Etkinleştirildikten sonra, kötü amaçlı yazılım, kontrolün sağlandığını belirten bir mesaj görüntüleyerek sistemin ele geçirildiğini bildirir.
Nexcorium, geleneksel Mirai varyantlarının yapısal tasarımını yansıtarak, kodlanmış yapılandırma verilerini, sistem izleme mekanizmalarını ve dağıtılmış hizmet reddi saldırıları başlatmak için özel modülleri bünyesinde barındırır.
Yanal Hareket ve Kalıcılık Teknikleri
Bu kötü amaçlı yazılım, Huawei HG532 cihazlarını hedef alan CVE-2017-17215 dahil olmak üzere ek güvenlik açıklarından yararlanarak ağlar içindeki erişim alanını genişletiyor. Ayrıca, Telnet erişimi yoluyla diğer sistemleri tehlikeye atmak için gömülü kimlik bilgisi listeleri kullanan kaba kuvvet teknikleri de uyguluyor.
Erişim sağlandıktan sonra, kötü amaçlı yazılım birkaç işlem gerçekleştirir:
- Ele geçirilen sunucuda bir shell oturumu başlatır.
- Crontab ve systemd servislerini kullanarak kalıcılığı yapılandırır.
- Talimatlar için uzaktaki bir Komuta ve Kontrol sunucusuna bağlanır.
Bu adımlar, tespit ve analiz olasılığını en aza indirirken sürekli kontrolü sağlar.
Botnet Yetenekleri ve Operasyonel Etkisi
Kalıcı erişim sağlandıktan sonra, Nexcorium saldırganların aşağıdakiler de dahil olmak üzere birden fazla protokol kullanarak çeşitli DDoS saldırıları gerçekleştirmesine olanak tanır:
UDP
TCP
SMTP
Bu çok yönlü yetenek, esnek ve yüksek etkili saldırı senaryolarına olanak tanıyarak botnet'i hedef alınan altyapı için önemli bir tehdit haline getiriyor.
Kalıcı Tehdit Ortamı ve Gelecekteki Riskler
Nexcorium, istismar tekrar kullanımını, mimariler arası uyumluluğu ve sağlam kalıcılık mekanizmalarını bir araya getirerek, IoT odaklı botnetlerin evrimine örnek teşkil etmektedir. Bilinen güvenlik açıklarını agresif kaba kuvvet taktikleriyle birleştirmesi, yüksek derecede uyarlanabilirlik göstermektedir.
Varsayılan kimlik bilgilerine ve yamalanmamış cihazlara olan sürekli bağımlılık, IoT ekosistemlerinin kritik bir zayıf nokta olarak kalmasını garanti ediyor. Cihaz güvenliği uygulamalarında önemli iyileştirmeler yapılmadığı takdirde, bu sistemler büyük ölçekli botnet operasyonlarını beslemeye ve küresel ağ istikrarını bozmaya devam edecektir.
