Οι αναλυτές απειλών εντόπισαν μια νέα παραλλαγή του malware botnet BotenaGo και είναι η πιο κρυφή που έχει δει μέχρι στιγμής, που λειτουργεί απαρατήρητη από οποιαδήποτε μηχανή anti-virus.
Το BotenaGo είναι ένα σχετικά νέο malware γραμμένο στη Golang, τη γλώσσα προγραμματισμού open-source της Google.
Ο πηγαίος κώδικας για το botnet ήταν δημόσια διαθέσιμος για περίπου μισό χρόνο, από τότε που διέρρευσε τον Οκτώβριο του 2021.
Από τότε, έχουν εμφανιστεί αρκετές παραλλαγές, ενώ η αρχική συνέχισε να είναι ενεργή και να προσθέτει εκμεταλλεύσεις για τη στόχευση εκατομμυρίων συσκευών IoT.
Μικροσκοπικός εξωπλανήτης βρέθηκε πολύ κοντά στη Γη
GR-2: Ανθρωποειδές ρομπότ με πιο "ανθρώπινη" κίνηση
Νέα στοιχεία για τον Χάροντα, το φεγγάρι του Πλούτωνα
Ερευνητές στο Nozomi Networks Labs ανακάλυψαν πρόσφατα μια νέα παραλλαγή του BotenaGo που φαίνεται να προέρχεται από τον πηγαίο κώδικα που διέρρευσε.
Το δείγμα που ανέλυσαν στοχεύει “συσκευές Lilin security camera DVR”, κάτι που ώθησε τους ερευνητές να το ονομάσουν “Lillin scanner”.
Μια κρυφή νέα έκδοση
Το πιο αξιοσημείωτο χαρακτηριστικό της παραλλαγής Lillin BotenaGo είναι ότι δεν εντοπίζεται από μηχανές antivirus στην πλατφόρμα σάρωσης VirusTotal.
Ένας από τους λόγους για αυτό είναι ότι οι συντάκτες του έχουν αφαιρέσει όλα τα exploits που υπάρχουν στο αρχικό BotenaGo και επικεντρώνονται μόνο στη στόχευση των Lilin DVRs χρησιμοποιώντας ένα κρίσιμο ελάττωμα εκτέλεσης απομακρυσμένου κώδικα δύο ετών.
Συγκεκριμένα, αυτό το exploit είναι το ίδιο που χρησιμοποιεί το κακόβουλο λογισμικό Fodcha, ένα άλλο botnet που ανακαλύφθηκε πρόσφατα για την εκτόξευση επιθέσεων denial-of-service (DDoS) που κατέγραψε εντυπωσιακή ανάπτυξη.
Ως εκ τούτου, φαίνεται ότι υπάρχει ένας σημαντικός αριθμός μη διορθωμένων συσκευών Lilin DVR εκεί έξω που είναι λογικό να είναι στόχος των δημιουργών του νέου botnet.
Πύλη στο Mirai
Μια άλλη διαφορά μεταξύ του Lillin scanner και του αρχικού BotenaGo είναι ότι ο πρώτος βασίζεται σε ένα εξωτερικό εργαλείο μαζικής σάρωσης για να σχηματίσει λίστες διευθύνσεων IP εκμεταλλεύσιμων συσκευών.
Στη συνέχεια, το malware χρησιμοποιεί τη συνάρτηση για να μολύνει όλες τις έγκυρες και προσβάσιμες διευθύνσεις IP μέσω cleartext strings και στη συνέχεια να βασίζεται σε μια hardcoded λίστα με credentials που συνήθως ρυθμίζονται σε κακώς προστατευμένα endpoints.
Τα ειδικά για Lilin “root/icatch99” και “report/8Jg0SR8K50” περιλαμβάνονται σε αυτήν τη λίστα. Εάν υπάρχει αντιστοιχία, οι απειλητικοί φορείς μπορούν να εκτελέσουν αυθαίρετο κώδικα εξ αποστάσεως στον στόχο.
Το exploit έρχεται μέσω αιτήματος POST με κακόβουλο κώδικα, που υποβάλλεται στο dvr/cmd, με στόχο την τροποποίηση του NTP configuration της κάμερας.
Εάν αυτό είναι επιτυχές,το νέο configuration θα εκτελέσει μια εντολή wget για λήψη ενός αρχείου (wget.sh) από το 136.144.41[.]169 και στη συνέχεια θα το εκτελέσει. Εάν δεν είναι επιτυχές, το κακόβουλο λογισμικό επιχειρεί να εισάγει την εντολή στο cn/cmd.
Το αρχείο wget.sh κατεβάζει Mirai payloads που έχουν μεταγλωττιστεί για πολλαπλές αρχιτεκτονικές και τα εκτελεί στη συσκευή που έχει παραβιαστεί.
Ορισμένα από αυτά τα payloads μεταφορτώθηκαν στο VirusTotal τον Μάρτιο του 2022, υποδεικνύοντας ότι η περίοδος δοκιμών είναι νέα.
Οι ερευνητές της Nozomi αναφέρουν ότι το Mirai διαθέτει ορισμένες εξαιρέσεις εύρους IP για την αποφυγή μόλυνσης του Υπουργείου Άμυνας των ΗΠΑ (DoD), της Ταχυδρομικής Υπηρεσίας των ΗΠΑ (USPS), της General Electric (GE), της Hewlett-Packard (HP) και άλλων.
Το Mirai αναλαμβάνει να στοχεύσει μια ευρύτερη λίστα exploits και συσκευών, επομένως σε αυτήν την καμπάνια, το exploit Lilin DVR χρησιμεύει ως πύλη σε ένα μεγαλύτερο κύμα μόλυνσης.
Δεν είναι μια τεράστια απειλή
Η παραλλαγή του σαρωτή Lillin δεν φαίνεται να αποτελεί τεράστια απειλή για τα IoT λόγω της πολύ συγκεκριμένης στόχευσης, ακόμα κι αν το Mirai δεύτερου σταδίου έχει πιο ισχυρές δυνατότητες.
Επιπλέον, δεν μπορεί να διαδοθεί μόνο του, καθώς οι λειτουργίες σάρωσης και μόλυνσης λειτουργούν χειροκίνητα, επομένως είναι μια πολύ στοχευμένη απειλή ή ίσως ακόμα σε πειραματικό στάδιο.
Ωστόσο, είναι ένα ενδιαφέρον νέο έργο botnet που αποδεικνύει πόσο εύκολο είναι για τους δημιουργούς κακόβουλου λογισμικού να δημιουργήσουν εντελώς κρυφά botnet από γνωστό, τεκμηριωμένο κώδικα.
Πηγή πληροφοριών: bleepingcomputer.com