Yeni Ttint IoT botnet İki 0-day Açığıyla Yeniden Ortaya Çıktı!

Ttint, daha önce bu tür botnetlerde görülen uzaktan erişim araçları benzeri (RAT) özellikleri de içeren yeni bir IoT botnet biçimidir.

Neredeyse bir yıldır, bir tehdit aktörü Tenda yönlendiricilerine kötü amaçlı yazılım yüklemek ve IoT botnet’i oluşturmak için 0-day güvenlik açıklarını kullanıyor.

Ttint adlı bu botnet, ilk olarak Çinli İnternet Güvenliği şirketi Qihoo360’ın ağ güvenliği bölümü olan Netlab tarafından Cuma günü yayınlanan raporda açıklanmıştı.

Geçmişte görülen sayısız IoT botnet aksine Netlab araştırmacılarına göre Ttint farklı özelliklere de sahip. Yalnızca DDoS saldırıları gerçekleştirmekle kalmayıp enfekte olmuş yönlendiricilere 12 farklı uzaktan erişim yöntemi uygulayabilir, yönlendiricileri trafiği aktarmak için proxy olarak kullanabilir, yönlendiricinin güvenlik duvarı ve DNS ayarlarını kurcalayabilir ve hatta saldırganlara enfekte olmuş cihazlarda uzaktan komut çalıştırma imkanı sunabiliyor.

Netlab, AC9 ve AC18 arasında bir ürün yazılım sürümü çalıştıran Tenda yönlendiricilerinin savunmasız kabul edildiğini açıkladı. DNS ayarlarını değiştirebildiği görüldüğünden kullanıcılara kötü amaçlı site yönlendirmesi yapılabilir. Bu güvenlik açıklarının bulunup bulunmadığını kontrol etmek isteyen kullanıcılar yönlendiricilerinin kontrol panelinden ürün yazılım sürümlerini kontrol edebilirler.

Tenda tarafından bu güvenlik açığıyla ilgili yama paylaşılmadığı için Netlab raporunda yeni 0-day ile ilgili detay bulunmuyor.

Netlab bu yönlendiricilere sahip olanların ise ilgili IoC’leri izlemesini ve engellemesini önerdi.

IoC

IP:

34.92.85.21         	Hong Kong           	ASN15169            	GOOGLE
34.92.139.186       	Hong Kong           	ASN15169            	GOOGLE              
43.249.29.56        	Hong Kong           	ASN133115           	HK Kwaifong Group Limited
45.249.92.60        	Hong Kong             	ASN133115           	HK Kwaifong Group Limited
45.249.92.72        	Hong Kong              	ASN133115           	HK Kwaifong Group Limited
103.60.220.48       	Hong Kong           	ASN133115           	HK Kwaifong Group Limited
103.108.142.92      	Hong Kong           	ASN133115           	HK Kwaifong Group Limited
103.243.183.248     	Hong Kong           	ASN133115           	HK Kwaifong Group Limited

C2:

cnc.notepod2.com:23231
back.notepod2.com:80
q9uvveypiB.notepod2.com:443

Update Server:

uhyg8v.notepod2.com:5001

URL:

http://45.112.205.60/td.sh
http://45.112.205.60/ttint.i686
http://45.112.205.60/ttint.arm5el
http://45.112.205.60/ttint.mipsel
http://34.92.139.186:5001/bot/get.sh
http://34.92.139.186:5001/bot/ttint.mipsel
http://34.92.139.186:5001/bot/ttint.x86_64

MD5:

3e6a16bcf7a9e9e0be25ae28551150f5
4ee942a0153ed74eb9a98f7ad321ec97
6bff8b6fd606e795385b84437d1e1e0a
733f71eb6cfca905e8904d0fb785fb43
a89cefdf71f2fced35fba8612ad07174
c5cb2b438ba6d809f1f71c776376d293
cfc0f745941ce1ec024cb86b1fd244f3
73ffd45ab46415b41831faee138f306e

Kaynak