İki Mirai Botnet'i, Lzrd ve Resgod, Wazuh Kusurunu Kullanırken Tespit Edildi

Akamai'deki siber güvenlik uzmanları yeni bir tehdit ortaya çıkardı: İki ayrı botnet, Mirai kötü amaçlı yazılımını yaymak için Wazuh güvenlik yazılımındaki kritik bir açığı, açık kaynaklı XDR ve SIEM çözümünü aktif olarak kullanıyor.

CVE-2025-24016 olarak izlenen bu güvenlik açığı, Wazuh'un 4.4.0'dan 4.9.0'a kadar olan sürümlerini etkiliyor ve 4.9.1 sürümünde düzeltildi. Saldırganların, Wazuh'un API'si aracılığıyla özel olarak hazırlanmış bir istek göndererek hedef sunucuda kendi kodlarını çalıştırmalarına olanak tanıyor ve böylece saldırganların etkilenen sunucuların kontrolünü uzaktan ele geçirmelerine olanak sağlıyor.

Bu güvenlik açığını kullanan aktif saldırıların ilk kez bildirilmesi dikkat çekici olup, siber suçluların yeni keşfedilen güvenlik açıklarını hızla kendi kampanyaları için bir araca dönüştürme eğiliminin endişe verici olduğunu göstermektedir.

Hackread.com ile paylaşılan teknik raporda , Akamai'nin Güvenlik İstihbarat ve Müdahale Ekibi'nin (SIRT), küresel bal tuzağı ağlarında şüpheli faaliyetleri ilk olarak 2025 yılının Şubat ayında ortaya çıkan kusurdan birkaç hafta sonra, 2025 yılının Mart ayında fark ettiği ortaya çıktı.

Ekip, bu açığı kullanan iki ayrı botnet tespit etti. İlk botnet, saldırılarına Mart ayının başlarında başladı ve bu açığı kullanarak kötü amaçlı bir betiği indirip çalıştırdı. Bu betik daha sonra, çok çeşitli Nesnelerin İnterneti (IoT) cihazlarını enfekte etmek üzere tasarlanmış ana Mirai kötü amaçlı yazılımını çökertir.

Bazen morte olarak adlandırılan bu Mirai varyantları, lzrd here gibi gösterdikleri benzersiz bir mesajla tanımlanabilir . Bu ilk saldırılar, herkese açık bir kavram kanıtı (PoC) istismarıyla aynı yetkilendirme ayrıntılarını kullandı, bu da saldırganların bilinen bilgileri hızla uyarladığı anlamına geliyor.

İkinci botnet, Mayıs 2025'in başlarında ortaya çıktı ve resgod adlı bir Mirai varyantını da yaydı. Bu botnet, ilişkili çevrimiçi adreslerinin ( alan adlarının ) gestisciweb.com gibi İtalyanca gibi görünen adlar içermesi nedeniyle dikkat çekti; bu, web'i yönet anlamına gelir. Bu, saldırganların özellikle İtalyanca konuşan kullanıcılara ait cihazları hedeflemeye çalıştığını gösterebilir. Resgod kötü amaçlı yazılımının kendisi, "Resentual sizi yakaladı!" şeklinde net bir mesaj taşır.

Wazuh güvenlik açığı birincil odak noktası olsa da, botnetler bununla sınırlı değildi. Akamai, bu kötü amaçlı grupların diğer birkaç iyi bilinen güvenlik açığını istismar etmeye çalıştığını gözlemledi. Bunlar arasında Hadoop YARN, TP-Link Archer AX21 yönlendiricileri ( CVE-2023-1389 ), Huawei HG532 yönlendiricileri ( CVE-2017-17215 ) ve ZTE ZXV10 H108L yönlendiricileri ( CVE-2017-18368 ) gibi sistemlerdeki eski güvenlik açıkları da vardı. Bu, saldırganların mevcut herhangi bir zayıflık yoluyla sistemleri enfekte etmeye çalışarak geniş bir yaklaşım kullandığını gösteriyor.

Akamai'nin raporu, suçluların yeni botnet'ler oluşturmak için eski kötü amaçlı yazılım kodunu yeniden kullanmasının nispeten kolay olmaya devam ettiği konusunda uyarıyor. Bu Wazuh açığının ifşa edilmesinden sonra istismar edilme hızı, kuruluşların güvenlik yamalarını kullanılabilir hale gelir gelmez uygulamalarının ne kadar kritik olduğunu vurguluyor.

Sadece güncel olmayan cihazları etkileyen bazı güvenlik açıklarının aksine, CVE-2025-24016 özellikle güncellenmemiş aktif Wazuh sunucularını hedef alır. Akamai, sistemlerini korumak için tüm kullanıcıların Wazuh sürüm 4.9.1 veya sonraki bir sürüme yükseltmelerini şiddetle tavsiye eder.