Μια νέα παραλλαγή του Mirai botnet που παρακολουθείται ως «V3G4» στοχεύει 13 τρωτά σημεία σε servers που βασίζονται σε Linux και συσκευές IoT για χρήση σε επιθέσεις DDoS (distributed denial of service).
Δείτε επίσης: Emsisoft: Χάκερ πλαστογραφούν τα πιστοποιητικά μας για να παραβιάσουν δίκτυα
Το malware εξαπλώνεται εκμεταλλευόμενο αδύναμα credentials και τυχόν προ-προγραμματισμένες αδυναμίες ασφαλείας στο telnet/SSH των στόχων του. Μόλις αποκτήσει πρόσβαση σε μια συσκευή, τη μολύνει γρήγορα και την προσθέτει σε έναν επεκτεινόμενο στρατό botnet.
Οι ερευνητές της Palo Alto Networks (Unit 42) εντόπισαν τρεις μεμονωμένες εκστρατείες που αφορούσαν το ίδιο κακόβουλο λογισμικό κατά τη διάρκεια ενός εξαμήνου μεταξύ Ιουλίου 2022 και Δεκεμβρίου 2022.
Δείτε επίσης: Google: Ο πόλεμος στην Ουκρανία έχει ταράξει το οικοσύστημα του κυβερνοεγκλήματος
Η Unit 42 είναι πεπεισμένη ότι πίσω και από τα τρία κύματα επιθέσεων βρισκόταν ο ίδιος απειλητικός φορέας, λόγω των ομοιοτήτων στα hardcoded C2 domains, των παρόμοιων shell script downloads και των πανομοιότυπων λειτουργιών του botnet client.
Για να παραβιάσει συσκευές, ο απειλητικός παράγοντας στοχεύει 13 ευπάθειες απομακρυσμένης εκτέλεσης κώδικα που τους επιτρέπουν να εκτελούν συγκεκριμένα βοηθητικά προγράμματα για τη λήψη και εκτέλεση του κακόβουλου λογισμικού Mirai στις συσκευές-στόχους.
Τα στοχευμένα τρωτά σημεία επηρεάζουν τις FreePBX Elastix (CVE-2012-4869), Gitorious, FRITZ!Box webcams (CVE-2014-9727), Mitel AWC, Geutebruck IP κάμερες (CVE-2017-5173), Webmin (CVE-15101), Spree Commerce, FLIR Thermal κάμερες, DrayTek Vigor (CVE-2020-8515 και CVE-2020-15415), Airspan AirSpot (CVE-2022-36267), Atlassian Confluence (CVE-2022-26134 Web Management) και C-Data Web Management System (CVE-2022-4257).
Αφού διεισδύσει στη συσκευή-στόχο, ένα payload που βασίζεται στο Mirai αποστέλλεται στο σύστημα και επιχειρεί να δημιουργήσει συνδεσιμότητα με την προ-προγραμματισμένη διεύθυνση εντολών και ελέγχου.
Αυτό το κακόβουλο botnet όχι μόνο προσπαθεί να τερματίσει ένα σύνολο διεργασιών, αλλά στοχεύει και άλλες ανταγωνιστικές οικογένειες κακόβουλου λογισμικού από την προκαθορισμένη λίστα του.
Το V3G4 ξεχωρίζει από άλλες παραλλαγές του Mirai λόγω της ενσωμάτωσης τεσσάρων ξεχωριστών κλειδιών κρυπτογράφησης XOR, καθιστώντας πιο δύσκολο το reverse engineering και την αποκωδικοποίηση των λειτουργιών του κακόβουλου λογισμικού.
Δείτε επίσης: Η Citrix διορθώνει ευπάθειες σε Workspace, Virtual Apps and Desktops
Κατά τη διάδοση σε άλλες συσκευές, το botnet χρησιμοποιεί ένα telnet/SSH brute-forcer που προσπαθεί να συνδεθεί χρησιμοποιώντας προεπιλεγμένα ή αδύναμα credentials. Η Unit 42 παρατήρησε ότι οι προηγούμενες εκδόσεις του κακόβουλου λογισμικού χρησιμοποιούσαν brute-forcing telnet/SSH και εκμετάλλευση ευπαθειών για τη διάδοση, αλλά οι νεότερες εκδόσεις δεν χρησιμοποιούσαν αυτές τις μεθόδους.
Τέλος, οι εντολές C2 κατευθύνουν τις επιθέσεις DDoS σε συσκευές που έχουν παραβιαστεί μέσω μιας ποικιλίας μεθόδων όπως TCP, UDP, SYN και HTTP flooding.
Το V3G4 πιθανότατα πουλά υπηρεσίες DDoS σε πελάτες που θέλουν να προκαλέσουν διακοπή της υπηρεσίας σε συγκεκριμένους ιστότοπους ή διαδικτυακές υπηρεσίες.
Μέχρι στιγμής, αυτή η παραλλαγή δεν έχει ακόμη συνδεθεί με κάποια συγκεκριμένη υπηρεσία.
Για να προστατεύσετε τις συσκευές σας από κακόβουλες μολύνσεις Mirai, φροντίστε να αλλάξετε τον προεπιλεγμένο κωδικό πρόσβασης και να διατηρείτε όλες τις ενημερώσεις ασφαλείας σε ισχύ. Με αυτόν τον τρόπο θα εξασφαλίσετε τη μέγιστη δυνατή προστασία για εσάς και τη συσκευή σας.
Πηγή πληροφοριών: bleepingcomputer.com
