Новата варијанта на Mirai малициозен софтвер ги заразува Linux уредите за да шири DDoS ботнет

Новата варијанта на Mirai ботнет, позната како „V3G4“ таргетира 13 пропусти во серверите базирани на Linux и IoT уредите за да ги користи во DDoS (distributed denial of service) нападите.

Малициозниот софтвер се шири со brute – forcing слаби или стандардни telnet/SSH акредитации и искористување на хардкодираните недостатоци за извршување на далечинско извршување на кодот на таргетираните уреди. Штом уредот ќе биде пробиен, малициозниот софтвер го инфицира уредот и го вметнува во неговиот ботнет.

Конкретниот малициозен софтвер беше забележан во три различни кампањи од истражувачите во Palo Alto Networks (Единица 42), кои пријавија дека ја следат малициозната активност помеѓу јули 2022 и декември 2022 година.

Единицата 42 верува дека сите три бранови на напад потекнуваат од истиот хакер бидејќи хардкодираните C2 домени ја содржат истата низа, преземањата на shell скриптите се слични, а ботнет клиентите што се користат во сите напади имаат идентични функции.

V3G4 нападите започнуваат со искористување на една од следните 13 пропусти:

• CVE-2012-4869: FreePBX Elastix remote command execution
• Gitorious remote command execution
• CVE-2014-9727: FRITZ!Box Webcam remote command execution
• Mitel AWC remote command execution
• CVE-2017-5173: Geutebruck IP Cameras remote command execution
• CVE-2019-15107: Webmin command injection
• Spree Commerce arbitrary command execution
• FLIR Thermal Camera remote command execution
• CVE-2020-8515: DrayTek Vigor remote command execution
• CVE-2020-15415: DrayTek Vigor remote command execution
• CVE-2022-36267: Airspan AirSpot remote command execution
• CVE-2022-26134: Atlassian Confluence remote command execution
• CVE-2022-4257: C-Data Web Management System command injection

Ботнетот, исто така, се обидува да прекине збир на процеси од хардкодирана листа, која вклучува и други видови на ботнет малициозен софтвер.

Карактеристика што го разликува V3G4 од повеќето Mirai варијанти е тоа што користи четири различни клучеви за шифрирање XOR наместо само еден, што предизвикува reverse engineering на кодот на малициозниот софтвер и декодирањето на неговите функции е попредизвикувачки.

Кога се шири на други уреди, ботнетот користи telnet/SSH brute – forcer кој се обидува да се поврзе користејќи стандардни или слаби акредитиви. Единицата 42 забележа дека претходните варијанти на малициозен софтвер користеле и telnet/SSH brute – forcing и експлоатација на ранливост за ширење, додека подоцнежните примероци не го користеле скенерот.

Конечно, компромитирани уреди издаваат DDoS команди директно од C2, вклучувајќи TCP, UDP, SYN и HTTP методи за поплавување.

V3G4 веројатно продава DDoS услуги на клиенти кои сакаат да предизвикаат прекин на услугата на одредени веб-страници или онлајн услуги.

Сепак, оваа варијанта во моментов не е поврзана со одредена услуга.

Како и секогаш, најдобриот начин да ги заштитите вашите уреди од инфекции слични на Mirai е да ја смените стандардната лозинка и да ги инсталирате најновите безбедносни ажурирања.

Извор: BleepingComputer