Μια παραλλαγή του botnet Mirai στοχεύει 22 ευπάθειες σε μια προσπάθεια να πάρει τον έλεγχο των συσκευών D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear και MediaTek και να τις χρησιμοποιήσει για επιθέσεις distributed denial-of-service (DDoS).
Δείτε επίσης: Αυτές είναι οι μεγαλύτερες επιθέσεις DDoS που έχουν γίνει παγκοσμίως
Δείτε επίσης: Οι 5 κορυφαίες απειλές για την κυβερνοασφάλεια το 2023
Οι ερευνητές της Unit 42 της Palo Alto Networks εντόπισαν το κακόβουλο λογισμικό σε δύο συνεχιζόμενες εκστρατείες που ξεκίνησαν στις 14 Μαρτίου και κορυφώθηκαν τον Απρίλιο και τον Ιούνιο.
Σε σημερινή τους έκθεση, οι ερευνητές προειδοποίησαν ότι οι προγραμματιστές botnet συνεχίζουν να προσθέτουν κώδικα για ευπάθειες που μπορούν να αξιοποιηθούν.
Συνολικά, το κακόβουλο λογισμικό στοχεύει σε 22 γνωστά ζητήματα ασφαλείας σε διάφορα συνδεδεμένα προϊόντα, όπως router, DVR, NVR, WiFi dongles επικοινωνίας, συστήματα θερμικής παρακολούθησης, συστήματα ελέγχου πρόσβασης και οθόνες παραγωγής ηλιακής ενέργειας.
Ακολουθεί ο πλήρης κατάλογος των ευπαθειών και των προϊόντων που στοχεύει το κακόβουλο λογισμικό στην τελευταία έκδοση που εντόπισαν οι ερευνητές της Unit 42:
Ένα από αυτά τα ελαττώματα, το CVE-2023-1389, επηρεάζει τον δρομολογητ WiFi TP-Link Archer A21 (AX1800) και αναφέρθηκε από την ZDI ως εκμετάλλευση από Mirai malware από τα τέλη Απριλίου. Ωστόσο, δεν είναι σαφές εάν οι δύο αναφέρονται στην ίδια δραστηριότητα.
Δείτε επίσης: Microsoft Teams: Σφάλμα επιτρέπει την παράδοση κακόβουλου λογισμικού
Λεπτομέρειες της επίθεσης
Η επίθεση ξεκινά με την εκμετάλλευση ενός από τα προαναφερθέντα ελαττώματα, θέτοντας τις βάσεις για την εκτέλεση ενός shell script από έναν εξωτερικό πόρο.
Αυτό το script θα πραγματοποιήσει λήψη του botnet client που ταιριάζει με την αρχιτεκτονική της παραβιασμένης συσκευής, καλύπτοντας τα armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k και sparc.
Αφού εκτελεστεί ο bot client, το shell script downloader διαγράφει τα αρχεία του πελάτη για να σαρώσει τα ίχνη της μόλυνσης και να μειώσει την πιθανότητα εντοπισμού.
Σε σύγκριση με τις συνήθεις παραλλαγές Mirai που κυκλοφορούν, αυτή έχει άμεση πρόσβαση σε κρυπτογραφημένα strings στο τμήμα .rodata με δείκτη αντί να δημιουργήσει έναν string table για να πάρει τις ρυθμίσεις για τον botnet client.
Αυτή η προσέγγιση παρακάμπτει την αρχικοποίηση του κρυπτογραφημένου πίνακα string, προσδίδοντας στο κακόβουλο λογισμικό ταχύτητα, μυστικότητα και καθιστώντας λιγότερο πιθανό τον εντοπισμό του από εργαλεία ασφαλείας.
Η Unit 42 σημειώνει επίσης ότι αυτή η παραλλαγή Mirai δεν έχει την ικανότητα να παραβιάζει τα telnet/SSH login credentials, οπότε η διανομή της βασίζεται αποκλειστικά σε χειριστές που εκμεταλλεύονται χειροκίνητα τις ευπάθειες.
Η μείωση του κινδύνου μόλυνσης είναι δυνατή με την εφαρμογή της πιο πρόσφατης ενημέρωσης firmware που διατίθεται από τον προμηθευτή ή τον κατασκευαστή της συσκευής, την αλλαγή από τα προεπιλεγμένα διαπιστευτήρια πρόσβασης σε κάτι ισχυρό και μοναδικό και την κατάργηση της απομακρυσμένης προσβασιμότητας στο admin panel, εάν δεν χρειάζεται.
Τα σημάδια μόλυνσης από κακόβουλο λογισμικό botnet σε μια συσκευή IoT μπορεί να περιλαμβάνουν υπερβολική υπερθέρμανση, αλλαγές στις ρυθμίσεις/ρυθμίσεις, συχνές αποσυνδέσεις και συνολική πτώση των επιδόσεων.
Πηγή πληροφοριών: bleepingcomputer.com
