2024 yılının Ekim ve Kasım aylarında, FortiGuard Labs iki önemli botnet olan FICORA ve CAPSAICIN’ın etkinliklerinde belirgin bir artış gözlemledi. Bu botnetler, D-Link cihazlarında on yılı aşkın süredir bulunan güvenlik açıklarından yararlanarak, yaygın saldırılar düzenliyor.
Hedeflenen Güvenlik Açıkları ve CVE’ler
Bu botnetlerin hedef aldığı güvenlik zafiyetleri arasında CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 ve yeni keşfedilen CVE-2024-33112 bulunuyor.
HNAP (Home Network Administration Protocol) arayüzündeki bu açıklar, siber saldırganlara uzaktan komut çalıştırma olanağı tanıyor. Bu açıkların yıllar öncesinde belgelenmiş olmasına rağmen, yamalanmamış cihazların yaygınlığı nedeniyle ciddi riskler oluşturmaya devam ediyorlar.
FortiGuard Labs’ın bir açıklamasında, “Saldırganlar eski teknikleri sıkça yeniden kullanıyor, bu da FICORA ve CAPSAICIN botnetlerinin yayılmasını sürdürmesinin ana nedeni,” denildi.
FICORA Botnet’inin Teknik Ayrıntıları
FICORA, Mirai türevi bir kötü amaçlı yazılım olarak dikkat çekiyor. Şu özelliklere sahip:
- Yüklenme ve Yürütme: FICORA, “multi” adlı bir kabuk betiği kullanarak farklı Linux mimarilerinde çalışan ana yüklenebilir dosyasını indiriyor.
- DDoS Yetenekleri: UDP, TCP ve DNS protokollerini kullanarak ağları bozabiliyor.
- ChaCha20 Şifreleme Algoritması: Komut ve kontrol (C2) sunucusu bilgilerini şifrelemek için kullanıyor.
- Sabit Kodlu Kimlik Bilgileri: Kaba kuvvet saldırıları için sabit kodlanmış kullanıcı adları ve parolalar bulunduruyor.
FICORA, görüldüğü üzere küresel bir etki alanına sahip ve dünya çapında çeşitli cihazları hedefliyor.
CAPSAICIN Botnet’inin Ayrıntıları
CAPSAICIN, daha lokalize bir etki gösteriyor ve ağırlıklı olarak Doğu Asya bölgesindeki Japonya ve Tayvan gibi ülkeleri hedef alıyor.
- İndirme Betiği: “bins.sh” adlı bir betik ile farklı Linux mimarilerine uygun botnet yazılımlarını indiriyor.
- Botnet Öldürme: Bilinen botnet süreçlerini sonlandırıyor ve kendini öncelikli hale getiriyor.
- Komutlar: DDoS saldırıları, ortam değişkeni manipülasyonları ve C2 sunucusuna bağlantı işlemleri gibi çok yönlü yeteneklere sahip.
CAPSAICIN, C2 sunucusuna “192.110.247[.]46” adresi üzerinden bağlanarak kurban cihazların işletim sistemi bilgilerini ve kendine özgü takma adı sunuyor.
Yeni Riskler: CAPSAICIN ve FICORA’nın Özellikleri
Son dönemdeki analizler, bu botnetlerin kötü amaçlı aktivitelerinin artışını ortaya koyuyor. CAPSAICIN’ın “PRIVMSG” komutu üzerinden aşağıdaki gibi çok sayıda zararlı işlem yapabileceği bildiriliyor:
- GETIP: IP adresini elde etme.
- CLEARHISTORY: Komut geçmişini temizleme.
- FASTFLUX: Bir proxy başlatma.
- NICK: Kurban cihazın takma adını değiştirme.
- KILL: Oturumu sonlandırma.
- GET: Bir dosya indirme.
- VERSION: Cihazın sürüm bilgilerini isteme.
- HTTP: HTTP flood saldırısı.
- HOLD: TCP bağlantısı üzerinden flood saldırısı.
- BLACKNURSE: ICMP flood saldırısı.
- DNS: DNS amplifikasyon saldırısı.
- KILLALL: Tüm DDoS saldırılarını durdurma.
CAPSAICIN botnetinin esnek saldırı yetenekleri, kullanıcı cihazlarını tehlikeye atmanın ötesine geçerek, geniş çaplı ağ bozulmalarına neden olabilecek kapasiteye sahip olduğunu gösteriyor.
Botnetlerin Gelişen Stratejileri: FICORA ve CAPSAICIN
Son analizler, bu iki botnetin özellikle cihazlar üzerinde uzun süreli kontrol sağlama amacı güttüğünü gösteriyor. FortiGuard Labs, CAPSAICIN’ın özellikle ağ performansını bozmak ve hedef cihazları kullanılmaz hale getirmek için tasarlanmış saldırılar gerçekleştirdiğini tespit etti. FICORA ise çok daha geniş bir saldırı yelpazesi ile dikkat çekiyor ve neredeyse her türdeki Linux cihazını hedefleyebiliyor. Her iki botnet de dünya çapında farklı lokasyonlarda saptanmış, bu da saldırıların bölgesel sınırlamalardan bağımsız olarak gerçekleştirildiğini kanıtlıyor.
Daha Büyük Resim: Botnet Ekosistemindeki Rolü
FICORA ve CAPSAICIN gibi botnetler, yalnızca bireysel cihazlar için tehdit oluşturmakla kalmaz; aynı zamanda geniş çaplı ağ kesintilerine, veri ihlallerine ve DDoS saldırılarına yol açan daha büyük siber tehdit ekosisteminin bir parçasıdır. Özellikle yamalanmamış eski cihazlar, bu tür botnetlerin yayılmasını kolaylaştıran temel zeminlerden birini oluşturuyor.
Bu durum, kullanıcıların sadece güvenlik yazılımlarını değil, aynı zamanda ağ cihazlarını da düzenli olarak güncellemesi gerektiğini bir kez daha ortaya koyuyor.
Fortinet Koruması
Fortinet, raporda tanımlanan kötü amaçlı yazılımları aşağıdaki imzalarla tespit ve engelleme kapasitesine sahiptir, FortiGuard Antivirus tarafından şu şekilde tespit edilip engellenmektedir:
- ELF/Gafgyt.ST!tr
- ELF/Gafgyt.C!tr
- ELF/Gafgyt.AEA!tr
- BASH/TrojanDownloader.SH!tr
- BASH/Mirai.AEH!tr.dldr
- ELF/Mirai.A!tr
- ELF/Mirai.CTQ!tr
- ELF/Mirai.CLY!tr
- BASH/Agent.SHS!tr.dldr
FortiGate, FortiMail, FortiClient ve FortiEDR, FortiGuard AntiVirus hizmetini desteklemektedir. FortiGuard AntiVirus motoru, bu çözümlerin her birinin bir parçasıdır. Bu nedenle, bu ürünleri güncel koruma ile kullanan müşteriler korunmaktadır.
FortiGuard Web Filtering Service, C2 sunucusunu engellemektedir.
FortiGuard Labs, aşağıdaki zafiyetleri hedef alan saldırılara karşı IPS imzaları sağlamaktadır:
- CVE-2015-2051: D-Link.Cihazları.HNAP.SOAPAction-Header.Command.Execution
- CVE-2019-10891: D-Link.Cihazları.HNAP.SOAPAction-Header.Command.Execution
- CVE-2022-37056: D-Link.Cihazları.HNAP.SOAPAction-Header.Command.Execution
- CVE-2024-33112: D-Link.Cihazları.HNAP.SOAPAction-Header.Command.Execution
Ayrıca, kuruluşların Fortinet’in ücretsiz siber güvenlik eğitim modülünü incelemeleri önerilmektedir: Fortinet Certified Fundamentals (FCF) in Cybersecurity. Bu modül, son kullanıcıların oltalama saldırılarını nasıl tespit edip kendilerini nasıl koruyacaklarını öğrenmeleri için tasarlanmıştır.
FortiGuard IP Reputation ve Anti-Botnet Güvenlik Servisi, Fortinet’in dağıtılmış tehdit sensör ağı, CERT’ler, MITRE, işbirliği yapan rakipler ve diğer küresel kaynaklardan elde edilen güncel tehdit istihbaratını kullanarak bu saldırıları proaktif bir şekilde engellemektedir.
Eğer bu veya başka bir siber güvenlik tehdidinin kuruluşunuza etki ettiğini düşünüyorsanız, lütfen Küresel FortiGuard Olay Müdahale Ekibi ile iletişime geçin.
IOC’ler (İşaretler)
URL’ler
FICORA
- hxxp://103[.]149[.]87[.]69/multi
- hxxp://103[.]149[.]87[.]69/la.bot.arc
- hxxp://103[.]149[.]87[.]69/la.bot.arm
- hxxp://103[.]149[.]87[.]69/la.bot.arm5
- hxxp://103[.]149[.]87[.]69/la.bot.arm6
- hxxp://103[.]149[.]87[.]69/la.bot.arm7
- hxxp://103[.]149[.]87[.]69/la.bot.m68k
- hxxp://103[.]149[.]87[.]69/la.bot.mips
- hxxp://103[.]149[.]87[.]69/la.bot.mipsel
- hxxp://103[.]149[.]87[.]69/la.bot.powerpc
- hxxp://103[.]149[.]87[.]69/la.bot.sh4
- hxxp://103[.]149[.]87[.]69/la.bot.sparc
CAPSAICIN
- hxxp://87[.]11[.]174[.]141/bins.sh
- hxxp://pirati[.]abuser[.]eu/yakuza.yak.sh
- hxxp://pirati[.]abuser[.]eu/yakuza.arm5
- hxxp://pirati[.]abuser[.]eu/yakuza.arm6
- hxxp://pirati[.]abuser[.]eu/yakuza.arm7
- hxxp://pirati[.]abuser[.]eu/yakuza.i586
- hxxp://pirati[.]abuser[.]eu/yakuza.i686
- hxxp://pirati[.]abuser[.]eu/yakuza.m68k
- hxxp://pirati[.]abuser[.]eu/yakuza.mips
- hxxp://pirati[.]abuser[.]eu/yakuza.mipsel
- hxxp://pirati[.]abuser[.]eu/yakuza.ppc
- hxxp://pirati[.]abuser[.]eu/yakuza.sparc
- hxxp://pirati[.]abuser[.]eu/yakuza.x86
- hxxp://87[.]10[.]220[.]221/bins.sh
- hxxp://87[.]10[.]220[.]221/yakuza.sh
- hxxp://87[.]10[.]220[.]221/yakuza.arm4
- hxxp://87[.]10[.]220[.]221/yakuza.arm5
- hxxp://87[.]10[.]220[.]221/yakuza.arm6
- hxxp://87[.]10[.]220[.]221/yakuza.arm7
- hxxp://87[.]10[.]220[.]221/yakuza.i586
- hxxp://87[.]10[.]220[.]221/yakuza.i686
- hxxp://87[.]10[.]220[.]221/yakuza.m68k
- hxxp://87[.]10[.]220[.]221/yakuza.mips
- hxxp://87[.]10[.]220[.]221/yakuza.mipsel
- hxxp://87[.]10[.]220[.]221/yakuza.ppc
- hxxp://87[.]10[.]220[.]221/yakuza.sparc
- hxxp://87[.]10[.]220[.]221/yakuza.x86
Hostlar
- 103[.]149[.]87[.]69
- ru[.]coziest[.]lol
- f[.]codingdrunk[.]cc
- www[.]codingdrunk[.]in
- eighteen[.]pirate
- nineteen[.]libre
- 75cents[.]libre
- 2joints[.]libre
- fortyfivehundred[.]dyn
- 21savage[.]dyn
- imaverygoodbadboy[.]libre
- le[.]codingdrunk[.]in
- 87[.]11[.]174[.]141
- pirati[.]abuser[.]eu
- 87[.]10[.]220[.]221
- 45[.]86[.]86[.]60
- 194[.]110[.]247[.]46
Dosyalar
İndirici
- f71dc58cc969e79cb0fdfe5163fbb9ed4fee5e13cc9407a11d231601ee4c6e23
- ea83411bd7b6e5a7364f7b8b9018f0f17f7084aeb58a47736dd80c99cfeac7f1
- 48a04c7c33a787ef72f1a61aec9fad87d6bd9c49542f52af7e029ac83475f45d
- 18c92006951f93a77df14eca6430f32389080838d97c9e47364bf82f6c21a907
FICORA
- 9b161a32d89f9b19d40cd4c21d436c1daf208b5d159ffe1df7ad5fd1a57610e5
- faeea9d5091384195e87caae9dd88010c9a2b3b2c88ae9cac8d79fd94f250e9f
- 10d7aedc963ea77302b967aad100d7dd90d95abcdb099c5a0a2df309c52c32b8
- 7f6912de8bef9ced5b9018401452278570b4264bb1e935292575f2c3a0616ec4
- a06fd0b8936f5b2370db5f7ec933d53bd8a1bf5042cdc5c052390d1ecc7c0e07
- 764a03bf28f9eec50a1bd994308e977a64201fbe5d41337bdcc942c74861bcd3
- df176fb8cfbc7512c77673f862e73833641ebb0d43213492c168f99302dcd5e3
- ac2df391ede03df27bcf238077d2dddcde24cd86f16202c5c51ecd31b7596a68
- ca3f6dce945ccad5a50ea01262b2d42171f893632fc5c5b8ce4499990e978e5b
- afee245b6f999f6b9d0dd997436df5f2abfb3c8d2a8811ff57e3c21637207d62
- ec508df7cb142a639b0c33f710d5e49c29a5a578521b6306bee28012aadde4a8
CAPSAICIN
- 540c00e6c0b53332128b605b0d5e0926db0560a541bb13448d094d377a99dcb3
- 8349ba17f028b6a17aaa09cd17f1107409611a0734e06e6047ccc33e8ff669b0
- b3ad8409d82500e790e6599337abe4d6edf5bd4c6737f8357d19edd82c88b064
- ec87dc841af77ec2987f3e8ae316143218e9557e281ca13fb954536aa9f9caf1
- 784c9711eadceb7fedf022b7d7f00cff7a75d05c18ff726e257602e3a3ccccc1
- bde6ef047e0880ac7ef02e56eb87d5bc39116e98ef97a5b1960e9a55cea5082b
- c7be8d1b8948e1cb095d46376ced64367718ed2d9270c2fc99c7052a9d1ffed7
- 4600703535e35b464f0198a1fa95e3668a0c956ab68ce7b719c28031d69b86ff
- 6e3ef9404817e168c974000205b27723bc93abd7fbf0581c16bb5d2e1c5c6e4a
- 32e66b87f47245a892b102b7141d3845540b270c278e221f502807758a4e5dee
Tehditlerin Etkisi ve Alınacak Önlemler
D-Link cihazlarındaki bu zafiyetler, saldırıların uzun yıllar boyunca devam etmesine olanak tanıyor. Çoğu durumda, cihaz sahiplerinin güvenlik yamalarını uygulamaması bu tehditleri daha da kolaylaştırıyor.
Önerilen Önlemler:
- Tüm cihazlarınızın yazılımlarını güncel tutun.
- Kullanıcı adları ve parolaları sabit kodlanmış olan cihazları değiştirin.
- Ağ trafiğinizi izlemek için kapsamlı bir siber güvenlik izleme sistemi kullanın.
- Eski cihazları emekliye ayırın veya güncel modellere geçiş yapın.
- Cihaz yapılandırmalarınızı düzenli olarak gözden geçirin ve gereksiz hizmetleri devre dışı bırakın.
- Gelişmiş güvenlik çözümleri için profesyonel destek alın.
Sonuç
FICORA ve CAPSAICIN botnetleri, eski ve yamalanmamış cihazları hedef alarak ağları tehdit etmeye devam ediyor. Bu tehditlere karşı farkındalığı artırmak ve gerekli önlemleri almak, hem bireyler hem de kurumlar için kritik bir önem taşıyor.
Birlikte öğrenelim! #CyberSecurity #NetworkSecurity
About the Author
