KadNap Botneti 14.000’den Fazla Cihazı Ele Geçirdi: Proxy Ağı ve Linux Klipper Tehdidi

Anasayfa » KadNap Botneti 14.000’den Fazla Cihazı Ele Geçirdi: Proxy Ağı ve Linux Klipper Tehdidi
Ağ Güvenliği, Botnet, Zararlılar
Mart 15, 2026Mart 15, 2026Tarafından Cybernews.TR
0
KadNap Botneti 14.000’den Fazla Cihazı Ele Geçirdi: Proxy Ağı ve Linux Klipper Tehdidi

Saldırının Genel Çerçevesi

KadNap zararlısı, 2025 Ağustos ayından itibaren Asus yönlendiricileri ve diğer uç ağ cihazlarını hedef alarak 14.000’den fazla cihazı enfekte etti. Enfekte cihazların %60’ından fazlası ABD’de bulunurken, Tayvan, Hong Kong, Rusya, İngiltere, Avustralya, Brezilya, Fransa, İtalya ve İspanya gibi ülkelerde de az sayıda enfeksiyon tespit edildi. Zararlı, cihazları eşler arası (P2P) Kademlia Dağıtık Hash Tablosu (DHT) protokolünün özel bir sürümü üzerinden kontrol ederek, geleneksel ağ izleme yöntemlerinden kaçınıyor ve tespit edilmesini zorlaştırıyor.

Ele geçirilen cihazlar, C2 sunucusundan indirilen kabuk betikleri aracılığıyla P2P ağına katılıyor. Bu süreçte cihazlarda cron işleri oluşturularak zararlının kalıcılığı sağlanıyor. KadNap, ARM ve MIPS mimarilerinde çalışan cihazları hedef alabiliyor ve enfekte cihazlar, “doppelganger[.]shop” adlı proxy servisi üzerinden anonim proxy ağı olarak pazarlanıyor. Bu servis, daha önce Faceless olarak bilinen ve TheMoon zararlısıyla bağlantılı proxy servisin yeniden markalanmış hali olarak değerlendiriliyor.

Saldırı Zinciri ve Teknik Detaylar

Saldırı zinciri şu adımlardan oluşuyor:

  • C2 sunucusundan (“212.104.141[.]140”) indirilen “aic.sh” kabuk betiği, enfekte cihazda cron işi olarak kuruluyor ve her saat başında çalıştırılıyor.
  • Bu betik, zararlı ELF dosyasını indirip “kad” adıyla çalıştırarak KadNap zararlısını devreye alıyor.
  • KadNap, DHT protokolü üzerinden diğer enfekte cihazlarla iletişim kuruyor, böylece merkezi olmayan ve dayanıklı bir komut kontrol ağı oluşturuyor.
  • Enfekte cihazlarda SSH portu (22) kapatılıyor ve C2 IP:port listeleri çıkarılıyor.
  • Zararlı, Ağ Zaman Protokolü (NTP) sunucularından zaman bilgisi alarak ağdaki diğer düğümleri bulmak ve komut almak için hash tabanlı bir mekanizma kullanıyor.

Bu teknik yapı, KadNap’ın tespit edilmesini zorlaştırırken, cihazların farklı tür ve modellerine göre altyapının kategorize edilmesini sağlıyor. Ayrıca, enfekte cihazların bazen başka zararlılarla da birlikte çalışması, olay müdahale süreçlerinde sorumluluğun belirlenmesini güçleştiriyor.

Linux Ortamlarında Yeni Tehdit: ClipXDaemon

KadNap’ın yanı sıra, Linux sistemlerini hedef alan yeni bir tehdit olan ClipXDaemon ortaya çıktı. Bu zararlı, Linux X11 ortamlarında kopyalanan kripto para cüzdan adreslerini gerçek zamanlı olarak saldırganın kontrolündeki adreslerle değiştiriyor. Bellekte çalışan bu klipper zararlısı, ShadowHS post-exploitation framework’ü üzerinden dağıtılıyor ve Wayland oturumlarından kaçınıyor. Bu tercih, Wayland’ın güvenlik mimarisi nedeniyle pano içeriğine erişim için kullanıcı etkileşimi gerektirmesinden kaynaklanıyor.

ClipXDaemon’un komut ve kontrol sunucusu bulunmuyor, beaconing yapmıyor ve uzaktan komut almıyor. Bu da zararlının tespitini ve analizini zorlaştırıyor. Hedeflenen kripto para birimleri arasında Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple ve TON yer alıyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • Uç cihazlarda ve yönlendiricilerde düzenli yazılım güncellemeleri ve yamaların uygulanması.
  • Varsayılan yönetim parolalarının değiştirilmesi ve güçlü kimlik doğrulama mekanizmalarının kullanılması.
  • SSH ve diğer yönetim portlarının gereksizse kapatılması veya güvenli ağ segmentlerine taşınması.
  • EDR ve SIEM çözümleri ile ağ trafiğinin ve cihaz davranışlarının sürekli izlenmesi.
  • Olay müdahale planlarının güncellenmesi ve enfekte cihazların hızlı izolasyonu için prosedürlerin oluşturulması.
  • Ağ segmentasyonu uygulayarak kritik altyapı ve IoT cihazlarının birbirinden ayrılması.
  • Proxy ve anonim ağ trafiği analizlerinin yapılması, şüpheli P2P iletişimlerinin tespiti.
  • Linux sistemlerde pano erişim izinlerinin kısıtlanması ve X11 oturumlarının güvenlik politikaları ile denetlenmesi.

Kurumsal Ortamlarda Olası Senaryo

Bir finans kurumu, KadNap botneti tarafından enfekte edilmiş yönlendiriciler üzerinden gizli proxy ağına dahil olabilir. Bu durum, kurumun ağ trafiğinin kötü amaçlı aktörler tarafından kullanılması ve veri sızıntısı riskini artırır. Aynı zamanda ClipXDaemon gibi Linux tabanlı klipper zararlılarının, kurumun kripto para işlemlerini hedef alması finansal kayıplara yol açabilir. Bu nedenle, kurumların hem ağ segmentasyonu hem de uç nokta güvenliğine odaklanması kritik önem taşır.

, , , , , , ,