Yeni bir yönlendirici zararlı yazılımı daha giriş bilgilerinizi ele geçiriyor

Black Lotus Labs siber güvenlik araştırmacıları kısa bir süre önce hem kurumsal düzeydeki hem de küçük ofis/ev yönlendiricilerini (SOHO) bilgi çalan kötü amaçlı yazılımlarla hedef alan yeni bir bulaşma kampanyası gözlemledi.

Araştırmacılara göre, kimliği belirsiz tehdit aktörleri ya bir sıfırıncı gün açığını kötüye kullanıyor ya da yönlendiricilere kaba kuvvetle girdikten sonra yepyeni bir kötü amaçlı yazılım varyantı yerleştiriyorlar.

Cuttlefish adı verilen bu kötü amaçlı yazılım, bir proxy ya da VPN tüneli oluşturarak cihaz üzerinden geçen oturum açma bilgileri gibi hassas verileri hortumluyor.

HiatusRAT ile bağlantılar

Kötü amaçlı yazılım ayrıca farklı gizleme teknikleriyle birlikte gelir ve olağandışı oturum açma girişimlerini tespit etmek için tasarlanmış çözümleri başarıyla atlar. Ayrıca ağ segmentasyonu ya da uç nokta izleme konusunda da işe yarıyor.

Black Lotus Labs, saldırganların kimliği, virüs bulaşan uç noktaların sayısı ya da saldırının nedeni de dahil olmak üzere kampanyayla ilgili pek çok bilinmeyen olduğunu belirtiyor. Şimdiye kadar, ele geçirilen cihazların çoğunluğu Türkiye’de bulunuyor ve birkaç tanesinin de uydu telefonu ve veri merkezi hizmetlerini etkilediği görülüyor.

Saldırganların kimliği bilinmemekle birlikte, araştırmacılar HiatusRAT olarak takip ettikleri bir tehdit aktörü ile birkaç benzerlik tespit ettiler. Araştırmacılar şu anda bu iki saldırgan arasında kesin bir bağlantı kurmanın mümkün olmadığını vurguladılar. HiatusRAT’ın geçmişte Çin devletinin çıkarlarını ilerlettiği görülmüştü, ancak gerçek bağlantı doğrulanmadı.

Düşman kim olursa olsun ve amacı ne olursa olsun, Black Lotus Labs yönlendiricilerinizi korumak için giriş bilgilerinizin zayıf olmadığından emin olmanız ve bunları düzenli olarak güncellemeniz gerektiğini söylüyor. Yönlendiriciler sık sık yeniden başlatılmalı, aygıt yazılımları güncellenmeli ve yönetim arayüzüne uzaktan erişim engellenmelidir.