Нов малициозен ботнет ShadowV2 го искористи прекинот на AWS како тест можност

Ново малициозно ботнет-злонамерие базирано на Mirai, наречено „ShadowV2“, е забележано како таргетира IoT уреди од D-Link, TP-Link и други производители, користејќи експлоити за познати ранливости.

Истражувачите од Fortinet FortiGuard Labs ја забележале активноста за време на големиот прекин на AWS во октомври. Иако двата инцидента не се поврзани, ботнетот бил активен само за времетраењето на прекинот, што може да укажува дека станувало збор за тестирање.

ShadowV2 се ширел со искористување на најмалку осум ранливости во повеќе IoT производи:

• DD-WRT (CVE-2009-2765)
• D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915)
• DigiEver (CVE-2023-52163)
• TBK (CVE-2024-3721)
• TP-Link (CVE-2024-53375)

Меѓу овие пропусти, CVE-2024-10914 е позната командна инјекциска ранливост која веќе се злоупотребува и ги погодува EoL (крај на животниот циклус) D-Link уредите, за кои производителот најави дека нема да бидат поправени.

Во врска со CVE-2024-10915, за која постои извештај од NetSecFish од ноември 2024 година, BleepingComputer првично не успеа да пронајде официјално соопштение од производителот. По контакт со компанијата, добиена е потврда дека проблемот нема да биде поправен за засегнатите модели.

D-Link ажурираше постар билтен за да го додаде конкретниот CVE-ID и објави нов билтен кој се однесува на кампањата ShadowV2, со цел да ги предупреди корисниците дека уредите со истечен животен циклус или поддршка повеќе не се во развој и нема да добиваат ажурирања на фирмверот.

CVE-2024-53375, која исто така беше детално претставена во ноември 2024 година, наводно била поправена преку бета ажурирање на фирмверот.

Според истражувачите од FortiGuard Labs, нападите на ShadowV2 потекнувале од 198[.]199[.]72[.]27 и биле насочени кон рутери, NAS уреди и DVR уреди низ седум сектори, вклучувајќи владини институции, технологија, производство, даватели на управувани безбедносни услуги (MSSP), телекомуникации и образование.

Влијанието било глобално, при што напади биле забележани во Северна и Јужна Америка, Европа, Африка, Азија и Австралија.

Малициозниот софтвер се идентификува како „ShadowV2 Build v1.0.0 IoT version“ и е сличен на варијантата Mirai LZRD, наведуваат истражувачите во извештај кој обезбедува технички детали за тоа како функционира ShadowV2.

Тој се доставува до ранливите уреди преку почетна фаза на пристап со користење на скрипта за преземање (binary.sh), која го презема од сервер на адресата 81[.]88[.]18[.]108.

Користи конфигурација кодирана со XOR за патеки во датотечниот систем, User-Agent низи, HTTP заглавија и низи во стилот на Mirai.

Во однос на функционалните можности, поддржува DDoS (дистрибуирани напади за оневозможување на услуга) врз UDP, TCP и HTTP протоколи, со различни типови на „flood“ напади за секој од нив. Инфраструктурата за команда и контрола (C2) ги активира овие напади преку команди испратени до ботовите.

Вообичаено, DDoS ботнетите заработуваат пари преку изнајмување на својата огнена моќ на сајбер-криминалци или преку директно уценување на целите, барајќи плаќања за да ги запрат нападите. Сепак, сè уште не е познато кој стои зад Shadow V2 и која е нивната стратегија за монетизација.

Fortinet сподели индикатори за компромитирање (IoCs) за да помогне во идентификацијата на оваа нова закана на крајот од извештајот, при што предупреди за важноста од редовно ажурирање на фирмверот на IoT уредите.

Извори:

• Bleeping Computer – New ShadowV2 botnet malware used AWS outage as a test opportunity Bleeping Computer