Een nieuw op Mirai gebaseerd botnet maakt misbruik van kwetsbaarheden in verschillende apparaten, waarbij de nadruk ligt op niet-gepatchte DigiEver DS-2105 Pro NVR’s, verouderde firmware op TP-Link-routers en Teltonika RUT9XX-routers. De campagne begon in oktober en de actieve exploitatie ging terug tot september. Akamai-onderzoekers hebben aanhoudende aanvallen bevestigd, waarbij meerdere fouten in de uitvoering van externe code worden gebruikt om apparaten in het botnet te betrekken voor kwaadaardige activiteiten.
Nieuw Mirai-botnet maakt misbruik van kwetsbaarheden op verschillende apparaten
Het botnet richt zich op een specifieke kwetsbaarheid voor het uitvoeren van externe code (RCE) in DigiEver NVR’s, waarbij onjuiste invoervalidatie in de ‘/cgi-bin/cgi_main.cgi’ URI betrokken is. Hackers kunnen op afstand opdrachten zoals ‘curl’ en ‘chmod’ injecteren via parameters zoals het ntp-veld in HTTP POST-verzoeken. Ta-Lun Yen van TXOne eerder gemarkeerd deze kwetsbaarheid, waarbij de impact ervan op verschillende DVR-apparaten werd opgemerkt tijdens een presentatie op de DefCamp-beveiligingsconferentie.
Naast het DigiEver-lek wordt er ook misbruik gemaakt van de Mirai-variant CVE-2023-1389 in TP-Link-apparaten en CVE-2018-17532 in Teltonika RUT9XX-routers. Onderzoekers hebben opgemerkt dat hoewel de aanvallen op DigiEver-apparaten rechtstreeks door Akamai zijn waargenomen, ze vergelijkbare methoden weerspiegelen die eerder door Yen zijn beschreven. De exploitatie van deze gebreken ondersteunt een campagne die erop gericht is voet aan de grond te krijgen op het gebied van kwetsbare apparaten.
Gebruik je TP-Link? Dit is de reden waarom de VS uw router kunnen verbieden
Methodologie en technieken die door aanvallers worden gebruikt
Via commando-injectie kunnen aanvallers binaire bestanden van malware ophalen die op externe servers worden gehost, waardoor de toevoeging van gecompromitteerde apparaten aan het botnet wordt vergemakkelijkt. Eenmaal onder controle kunnen de apparaten worden gebruikt om gedistribueerde Denial of Service (DDoS)-aanvallen uit te voeren of verdere aanvallen op andere doelen te faciliteren. De persistentie binnen de geïnfecteerde systemen wordt gehandhaafd door het introduceren van cron-jobs, die ervoor zorgen dat de malware actief blijft ondanks mogelijke herstarts of andere onderbrekingen.
Akamai’s bevindingen hoogtepunt dat deze nieuwe Mirai-variant over geavanceerde encryptiemethoden beschikt, waaronder XOR en ChaCha20, wat wijst op evoluerende tactieken onder botnetoperators. In tegenstelling tot veel eerdere versies van Mirai, die vertrouwden op basisverduistering van snaren, toont deze variant de intentie om ontwijking en operationele veiligheid te verbeteren. Het richt zich op een breed scala aan architecturen, waaronder x86, ARM en MIPS, waardoor de potentiële impact op verschillende apparaattypen wordt vergroot.
Akamai-onderzoekers dringen er bij eigenaren en beheerders van apparaten op aan om proactieve maatregelen te nemen, waaronder het monitoren op indicatoren van compromissen (IoC), die zij beschikbaar hebben gesteld, samen met de Yara-regels voor het detecteren en blokkeren van de opkomende dreiging.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
