Ein neues Mirai-basiertes Botnetz nutzt Schwachstellen in mehreren Geräten aus und konzentriert sich dabei auf ungepatchte DigiEver DS-2105 Pro NVRs, veraltete Firmware auf TP-Link-Router und Teltonika RUT9XX-Router. Die Kampagne begann im Oktober, die aktive Ausbeutung reichte bis September zurück. Akamai-Forscher haben laufende Angriffe bestätigt, die mehrere Fehler bei der Remote-Codeausführung ausnutzen, um Geräte für böswillige Aktivitäten in das Botnetz einzubinden.
Neues Mirai-Botnetz nutzt Schwachstellen in verschiedenen Geräten aus
Das Botnetz zielt auf eine bestimmte RCE-Schwachstelle (Remote Code Execution) in DigiEver-NVRs ab, die eine fehlerhafte Eingabevalidierung im URI „/cgi-bin/cgi_main.cgi“ zur Folge hat. Hacker können Befehle wie „curl“ und „chmod“ aus der Ferne über Parameter wie das NTP-Feld in HTTP-POST-Anfragen einschleusen. Ta-Lun Yen von TXOne zuvor hervorgehoben Diese Sicherheitslücke wurde während einer Präsentation auf der DefCamp-Sicherheitskonferenz hervorgehoben und auf ihre Auswirkungen auf verschiedene DVR-Geräte hingewiesen.
Zusätzlich zum DigiEver-Fehler wird auch die Mirai-Variante ausgenutzt CVE-2023-1389 in TP-Link-Geräten und CVE-2018-17532 in Teltonika RUT9XX-Routern. Forscher haben festgestellt, dass die Angriffe auf DigiEver-Geräte zwar direkt von Akamai beobachtet wurden, sie jedoch ähnliche Methoden widerspiegeln, die zuvor von Yen beschrieben wurden. Die Ausnutzung dieser Schwachstellen unterstützt eine Kampagne, die darauf abzielt, bei anfälligen Geräten Fuß zu fassen.
Verwenden Sie TP-Link? Hier erfahren Sie, warum die USA Ihren Router möglicherweise verbieten
Von Angreifern verwendete Methodik und Techniken
Durch Befehlsinjektion können Angreifer Malware-Binärdateien abrufen, die auf externen Servern gehostet werden, und so das Hinzufügen gefährdeter Geräte zum Botnetz erleichtern. Sobald die Geräte unter Kontrolle sind, können sie zum Starten von DDoS-Angriffen (Distributed Denial of Service) oder zur Erleichterung weiterer Angriffe auf andere Ziele eingesetzt werden. Die Persistenz innerhalb der infizierten Systeme wird durch die Einführung von Cron-Jobs aufrechterhalten, die sicherstellen, dass die Malware trotz möglicher Neustarts oder anderer Unterbrechungen aktiv bleibt.
Akamai-Ergebnisse hervorheben dass diese neue Mirai-Variante über fortschrittliche Verschlüsselungsmethoden verfügt, darunter XOR und ChaCha20, was auf sich entwickelnde Taktiken unter Botnet-Betreibern hinweist. Im Gegensatz zu vielen früheren Iterationen von Mirai, die auf einer grundlegenden String-Verschleierung beruhten, zeigt diese Variante die Absicht, die Umgehung und die Betriebssicherheit zu verbessern. Es zielt auf eine Vielzahl von Architekturen ab, darunter x86, ARM und MIPS, und erweitert seine potenzielle Wirkung auf verschiedene Gerätetypen.
Akamai-Forscher fordern Gerätebesitzer und Administratoren auf, proaktive Maßnahmen zu ergreifen, einschließlich der Überwachung von Kompromittierungsindikatoren (Indicators of Compromise, IoC), die sie zusammen mit Yara-Regeln zur Erkennung und Blockierung der aufkommenden Bedrohung zur Verfügung gestellt haben.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney
