‘MooBot’ olarak bilinen Mirai kötü amaçlı yazılım botnet varyantı, geçen ayın başlarında başlayan ve eski ve yeni açıkların bir karışımıyla savunmasız D-Link yönlendiricilerini hedef alan yeni bir saldırı dalgasında yeniden ortaya çıktı.
MooBot, Aralık 2021’de Fortinet’teki analistler tarafından keşfedildi. Hikvision kameralarında bir kusur hızla yayılmak ve çok sayıda cihazı DDoS (dağıtılmış hizmet reddi) ordusuna dahil etmek.
Bugün, kötü amaçlı yazılım, tuzağa düşebilecekleri savunmasız cihaz havuzlarını arayan botnet’ler için tipik olan hedefleme kapsamını yeniledi.
Palo Alto Network’ün derlediği bir rapora göre 42. birim araştırmacılarıMooBot şimdi D-Link cihazlarında aşağıdaki kritik güvenlik açıklarını hedefliyor:
- CVE-2015-2051: D-Link HNAP SOAPAction Üstbilgi Komutu Yürütme Güvenlik Açığı
- CVE-2018-6530: D-Link SOAP Arayüzü Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2022-26258: D-Link Uzaktan Komut Yürütme Güvenlik Açığı
- CVE-2022-28958: D-Link Uzaktan Komut Yürütme Güvenlik Açığı
Satıcı, bu kusurları gidermek için güvenlik güncellemeleri yayınladı, ancak tüm kullanıcılar, özellikle bu yıl Mart ve Mayıs aylarında bilinen son ikisi olmak üzere, yamaları henüz uygulamadı.
MooBot’un operatörleri, hedefler üzerinde uzaktan kod yürütme elde etmek ve rastgele komutlar kullanarak kötü amaçlı yazılım ikili dosyasını getirmek için kusurların düşük saldırı karmaşıklığından yararlanır.
Kötü amaçlı yazılım, sabit kodlanmış adresi yapılandırmadan çözdükten sonra, yeni yakalanan yönlendiriciler, tehdit aktörünün C2’sine kaydedilir.
Unit 42’nin raporunda sunulan C2 adreslerinin, Fortinet’in yazdıklarından farklı olduğunu ve tehdit aktörünün altyapısında bir yenilenme olduğunu belirtmek önemlidir.
Sonunda, yakalanan yönlendiriciler, MooBot operatörlerinin neyi başarmak istediklerine bağlı olarak, çeşitli hedeflere yönelik yönlendirilmiş DDoS saldırılarına katılırlar.
Tipik olarak, tehdit aktörleri DDoS hizmetlerini başkalarına satar, bu nedenle botnet’in ateş gücü, sitelerde ve çevrimiçi hizmetlerde aksama sürelerine veya kesintilere neden olmakla ilgilenen herkese kiralanır.
Güvenliği ihlal edilmiş D-Link cihazlarının kullanıcıları, internet hızı düşüşlerini, yanıt vermemeyi, yönlendiricinin aşırı ısınmasını veya açıklanamayan DNS yapılandırma değişikliklerini, bunların tümü botnet enfeksiyonlarının yaygın belirtilerini fark edebilir.
MooBot’a kapıyı kapatmanın en iyi yolu, mevcut donanım yazılımı güncellemelerini D-Link yönlendiricinize uygulamaktır. Eski ve desteklenmeyen bir cihaz kullanıyorsanız, yönetici paneline uzaktan erişimi engelleyecek şekilde yapılandırmanız gerekir.
Güvenliğiniz zaten ihlal edilmişse, ilgili fiziksel düğmeden bir sıfırlama gerçekleştirmeli, yönetici parolanızı değiştirmeli ve ardından satıcıdan en son güvenlik güncellemelerini yüklemelisiniz.