'McCrash' adlı yeni platformlar arası kötü amaçlı yazılım botnet, Minecraft sunucularına dağıtılmış hizmet saldırıları yapmak için Windows, Linux ve IoT cihazlarını enfekte ediyor.
BOTNET, bir cihazı bulaştıktan sonra, SSH kimlik bilgilerini zorlayan SSH kimlik bilgileri ile ağdaki diğer sistemlere kendi kendine yayılabileceğini bildiren Microsoft Tehdit İstihbarat Ekibi tarafından keşfedildi.
Microsoft'un yeni raporunu, "DDOS BotNet analizimiz, büyük olasılıkla forumlarda veya Darknet sitelerinde satılan bir hizmet olarak hazırlanmış paketleri kullanarak özel Minecraft Java sunucularını hedeflemek için özel olarak tasarlanmış işlevsellikleri ortaya çıkardı."
Şu anda, McCrash tarafından enfekte olan cihazların çoğu Rusya'da bulunuyor, ancak Meksika, İtalya, Hindistan, Kazakistan ve Singapur'da kurbanlar da var.
Minecraft sunucuları, sunucudaki oyuncuları keder olsun veya gasp talebinin bir parçası olarak genellikle DDOS saldırılarının hedefleridir.
Ekim 2022'de Cloudflare, dünyanın en büyük minecraft sunucularından biri olan Wynncraft'ı hedefleyen rekor kıran 2.5 TBBS DDOS saldırısını hafiflettiğini bildirdi.
Microsoft, kullanıcılar sahte Windows ürün aktivatörü araçlarını ve truva atışlı Microsoft Office lisans aktivatörlerini (KMS araçları) yükledikten sonra cihazların başlangıçta McCrash ile enfekte olduğunu söylüyor.
Çatlama araçları, 'maliary.py' adlı birincil botnet yükünü başlatan 'svchosts.exe' adlı bir dosyayı indiren kötü niyetli PowerShell kodu içerir.
McCrash daha sonra IoT ve Linux cihazlarına Brute-Force SSH saldırıları gerçekleştirerek ağdaki diğer cihazlara yayılmaya çalışır.
"Botnet, İnternet'e maruz kalan Güvenli Kabuk (SSH) özellikli cihazlarda varsayılan kimlik bilgilerini numaralandırarak yayılır.
IoT cihazları, potansiyel olarak güvensiz ayarlarla uzaktan yapılandırma için yaygın olarak etkin olduğundan, bu cihazlar bu botnet gibi saldırılar için risk altında olabilir.
Botnet’in yayılma mekanizması onu benzersiz bir tehdit haline getirir, çünkü kötü amaçlı yazılım enfekte olmuş kaynak PC'den kaldırılabilirken, ağdaki yönetilmeyen IoT cihazlarında devam edebilir ve BotNet'in bir parçası olarak çalışmaya devam edebilir. " - Microsoft.
Kötü niyetli Python dosyası hem Windows hem de Linux ortamlarında çalışabilir. İlk lansmandan sonra, 4676 bağlantı noktasının üzerinden C2 ile bir TCP iletişim kanalı oluşturur ve hangi sistem üzerinde çalıştığı gibi temel ana bilgisayar bilgilerini gönderir.
Windows'ta McCrash, "Software \ Microsoft \ Windows \ CurrentVersion \ Run" tuşuna bir kayıt defteri değeri ekleyerek, yürütülebilir dosyası değeri olarak kalıcılık oluşturur.
BOTNET, ilk iletişimde tanımlanan işletim sistemi türüne göre C2 sunucusundan şifreli komutlar alır.
C2 daha sonra aşağıdaki komutlardan birini yürütmek için enfekte olmuş McCrash cihazına geri gönderecektir:
Yukarıdaki komutların çoğu, Minecraft sunucularındaki DDOS saldırılarında uzmanlaşmıştır, 'ATRACT_MCCRASH', hedef sunucuyu çökertmek için yeni bir yöntem kullanılması nedeniyle en dikkat çekici olanıdır.
Microsoft'a göre, tehdit aktörleri Minecraft Server sürüm 1.12.2'yi hedeflemek için BotNet'i oluşturdu, ancak 1.7.2 ve 1.18.2'ye kadar olan tüm sunucu sürümleri de saldırılara karşı savunmasız.
2022'de piyasaya sürülen sürüm 1.19, ATRACT_MCCRASH, ATRACT_ [MCBOT | MINE] ve ATRACT_MCDATA komutlarının mevcut uygulamasından etkilenmez.
Yine de, çoğu Amerika Birleşik Devletleri, Almanya ve Fransa'da bulunan eski sürümlerde önemli sayıda Minecraft sunucusu çalışıyor.
Microsoft, “Bu tehdidin, genellikle BotNet'in bir parçası olarak izlenmeyen IoT cihazlarını kullanma yeteneği, etkisini önemli ölçüde artırıyor ve tespit edilme şansını azaltır” diyor.
IoT cihazlarınızı botnet'lerden korumak için, ürün yazılımlarını güncel tutun, varsayılan kimlik bilgilerini güçlü (uzun) bir şifre ile değiştirin ve ihtiyaç duyulmadığı takdirde SSH bağlantılarını devre dışı bırakın.
GLUDTEBA kötü amaçlı yazılım Google Baskısı'ndan sonra tekrar harekete geçti
Yeni Zerobot Kötü Yazılım
Güncellenmiş rapperbot kötü amaçlı yazılım, DDOS saldırılarında oyun sunucularını hedefler
Kötü niyetli uzatma, saldırganların Google Chrome'u uzaktan kontrol etmesine izin verir
Fodcha DDOS Botnet iktidarda 1 Tbps'ye ulaşır, paketlerde fidye enjekte eder
Kaynak: Bleeping Computer