Nowy botnet oparty na Mirai wykorzystuje luki w zabezpieczeniach kilku urządzeń, koncentrując się na niezałatanych rejestratorach NVR DigiEver DS-2105 Pro, przestarzałym oprogramowaniu sprzętowym routerów TP-Link i routerach Teltonika RUT9XX. Kampania rozpoczęła się w październiku, a jej aktywne wykorzystanie sięgało września. Badacze Akamai potwierdzili trwające ataki, które wykorzystują wiele luk w zdalnym wykonywaniu kodu w celu wciągnięcia urządzeń do botnetu w celu podjęcia szkodliwych działań.
Nowy botnet Mirai wykorzystuje luki w różnych urządzeniach
Celem botnetu jest specyficzna luka w zabezpieczeniach umożliwiająca zdalne wykonanie kodu (RCE) w rejestratorach DigiEver NVR, która polega na nieprawidłowej weryfikacji danych wejściowych w identyfikatorze URI „/cgi-bin/cgi_main.cgi”. Hakerzy mogą zdalnie wstrzykiwać polecenia takie jak „curl” i „chmod” poprzez parametry takie jak pole ntp w żądaniach HTTP POST. Wcześniej Ta-Lun Yen z TXOne podświetlone tę lukę, odnotowując jej wpływ na różne urządzenia DVR podczas prezentacji na konferencji bezpieczeństwa DefCamp.
Oprócz wady DigiEver, exploit wykorzystuje również wariant Mirai CVE-2023-1389 w urządzeniach TP-Link i CVE-2018-17532 w routerach Teltonika RUT9XX. Badacze zauważyli, że chociaż ataki na urządzenia DigiEver były bezpośrednio obserwowane przez Akamai, odzwierciedlały one podobne metody opisane wcześniej przez Yen. Wykorzystanie tych luk wspiera kampanię mającą na celu zdobycie przyczółka w urządzeniach podatnych na ataki.
Używasz TP-Linka? Oto dlaczego Stany Zjednoczone mogą zablokować Twój router
Metodologia i techniki stosowane przez atakujących
Poprzez wstrzykiwanie poleceń osoby atakujące mogą pobrać pliki binarne złośliwego oprogramowania hostowane na serwerach zewnętrznych, ułatwiając dodawanie zainfekowanych urządzeń do botnetu. Po przejęciu kontroli urządzenia można wykorzystać do przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS) lub ułatwiać dalsze ataki na inne cele. Trwałość zainfekowanych systemów jest utrzymywana poprzez wprowadzenie zadań cron, które zapewniają, że złośliwe oprogramowanie pozostanie aktywne pomimo potencjalnych ponownych uruchomień lub innych zakłóceń.
Odkrycia Akamai atrakcja że ten nowy wariant Mirai oferuje zaawansowane metody szyfrowania, w tym XOR i ChaCha20, co wskazuje na ewolucję taktyki wśród operatorów botnetów. W przeciwieństwie do wielu poprzednich wersji Mirai, które opierały się na podstawowym zaciemnianiu ciągów znaków, ten wariant wykazuje zamiar poprawy unikania oszustw i bezpieczeństwa operacyjnego. Jest przeznaczony dla różnorodnych architektur, w tym x86, ARM i MIPS, rozszerzając jego potencjalny wpływ na różne typy urządzeń.
Badacze z Akamai wzywają właścicieli i administratorów urządzeń do przyjęcia proaktywnych środków, w tym monitorowania wskaźników naruszenia (IoC), które udostępnili wraz z zasadami Yara dotyczącymi wykrywania i blokowania pojawiającego się zagrożenia.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
