Hackerlar, Gelişmiş DDoS Ağları Kurmak İçin Yeni XorDDoS Zararlısını Kullanıyor

18.04.2025

Kasım 2023 ile Şubat 2025 arasında, XorDDoS kötü amaçlı yazılımının gelişmiş bir versiyonunun dünya genelinde Linux sistemlerini hedef alarak aktif bir şekilde yayıldığı tespit edildi. Bu truva atı, ele geçirdiği makineleri komutla harekete geçen “zombi botlara” dönüştürerek geniş çaplı dağıtılmış hizmet engelleme (DDoS) saldırıları gerçekleştirebiliyor.

XorDDoS, çoğunlukla SSH brute-force (şifre kırma) saldırıları yoluyla yayılıyor. Bu yöntemle, saldırganlar zayıf güvenliğe sahip Linux sunucularının kök (root) erişimini ele geçirmek için yaygın kullanıcı adı ve parola kombinasyonlarını deniyor. Sisteme sızdıktan sonra, kötü amaçlı yazılım kalıcılığını sağlamak için sistem açılışında otomatik olarak çalışacak şekilde yapılandırılıyor ve güvenlik yazılımlarından gizlenmeyi başarıyor.

Cisco Talos araştırmacıları, söz konusu dönemde XorDDoS ile gerçekleştirilen saldırıların ’inden fazlasının Amerika Birleşik Devletleri’ni hedef aldığını belirtiyor. Ancak zararlı yazılımın etkisi, İspanya, Tayvan, Kanada, Japonya, Brezilya ve Avrupa’nın çeşitli ülkelerine kadar uzanıyor. Yazılımın çok katmanlı kontrol araçlarında yapılan dil analizleri, kampanyanın arkasındaki kişilerin büyük olasılıkla Çince konuşan operatörler olduğunu gösteriyor.

XorDDoS’un en son sürümü olan “VIP versiyonu”, birden fazla alt denetleyiciyi aynı anda yönetebilen merkezi bir kontrol altyapısına sahip. Bu yapı, saldırganların daha karmaşık ve yaygın DDoS operasyonlarını daha verimli bir şekilde organize etmesini sağlıyor ve saldırıların kapsamını ciddi ölçüde artırıyor.

Sistemde kalıcılık ve gizliliği korumak amacıyla, XorDDoS şifrelenmiş yapılandırma dosyaları ve özel bir komuta-kontrol (C2) protokolü kullanıyor. Sabit bir XOR anahtarıyla IP adresleri ve URL’leri çözüp, bu sunucularla kimlik doğrulamalı iletişim kurarak, kötü amaçlı yazılımın komut almasını ve siber saldırganlarla sürekli bağlantıda kalmasını mümkün kılıyor.