Ένα νέο botnetis που βασίζεται στο Mirai που εκμεταλλεύεται ενεργά μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα που δεν έχει λάβει αριθμό παρακολούθησης και φαίνεται ότι δεν έχει επιδιορθωθεί στα NVR του DigiEver DS-2105 Pro.
Η καμπάνια ξεκίνησε τον Οκτώβριο και στοχεύει πολλαπλές συσκευές εγγραφής βίντεο δικτύου και δρομολογητές TP-Link με απαρχαιωμένο υλικολογισμικό.
Ένα από τα τρωτά σημεία που χρησιμοποιήθηκαν στην εκστρατεία τεκμηριώθηκε από τον ερευνητή του TXOne Ta-Lun Yen και παρουσιάζεται πέρυσι στο συνέδριο ασφαλείας DefCamp στο Βουκουρέστι της Ρουμανίας. Ο ερευνητής είπε τότε ότι το ζήτημα επηρεάζει πολλές συσκευές DVR.
Οι ερευνητές της Akamai παρατήρησαν ότι το botnet άρχισε να εκμεταλλεύεται το ελάττωμα στα μέσα Νοεμβρίου, αλλά βρήκαν στοιχεία ότι η καμπάνια ήταν ενεργή τουλάχιστον από τον Σεπτέμβριο.
Εκτός από το ελάττωμα του DigiEver, η νέα παραλλαγή κακόβουλου λογισμικού Mirai στοχεύει επίσης το CVE-2023-1389 σε συσκευές TP-Link και το CVE-2018-17532 σε δρομολογητές Teltonika RUT9XX.
Επιθέσεις σε DigiEver NVR
Η ευπάθεια που εκμεταλλεύεται για την παραβίαση των DigiEver NVR είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα (RCE) και οι χάκερ στοχεύουν το ‘/cgi-bin/cgi_main. cgi’ URI, το οποίο επικυρώνει εσφαλμένα τις εισόδους των χρηστών.
Αυτό επιτρέπει σε απομακρυσμένους μη επαληθευμένους εισβολείς να εισάγουν εντολές όπως «curl» και «chmod» μέσω συγκεκριμένων παραμέτρων, όπως το πεδίο ntp στα αιτήματα HTTP POST.
Ο Akamai λέει ότι οι επιθέσεις που έχει δει από αυτό το botnet που βασίζεται στο Mirai φαίνονται παρόμοιες με αυτές που περιγράφονται στην παρουσίαση του Ta-Lun Yen.
Μέσω της ένεσης εντολών, οι εισβολείς ανακτούν το δυαδικό λογισμικό κακόβουλου λογισμικού από έναν εξωτερικό διακομιστή και εντάσσουν τη συσκευή στο botnet της. Η επιμονή επιτυγχάνεται με την προσθήκη εργασιών cron.
Μόλις η συσκευή παραβιαστεί, χρησιμοποιείται στη συνέχεια για τη διεξαγωγή επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS) ή για εξάπλωση σε άλλες συσκευές αξιοποιώντας σύνολα εκμετάλλευσης και λίστες διαπιστευτηρίων.
Η Akamai λέει ότι η νέα παραλλαγή Mirai είναι αξιοσημείωτη για τη χρήση της κρυπτογράφησης XOR και ChaCha20 και τη στόχευσή της σε ένα ευρύ φάσμα αρχιτεκτονικών συστημάτων, συμπεριλαμβανομένων των x86, ARM και MIPS.
“Αν και η χρήση πολύπλοκων μεθόδων αποκρυπτογράφησης δεν είναι νέα, προτείνει την εξέλιξη τακτικών, τεχνικών και διαδικασιών μεταξύ των χειριστών botnet που βασίζονται στο Mirai.” σχόλια Akamai.
“Αυτό είναι κυρίως αξιοσημείωτο επειδή πολλά botnet που βασίζονται στο Mirai εξακολουθούν να εξαρτώνται από την αρχική λογική συσκότισης συμβολοσειρών από τον ανακυκλωμένο κώδικα που περιλαμβανόταν στην αρχική έκδοση του πηγαίου κώδικα κακόβουλου λογισμικού Mirai”, λένε οι ερευνητές.
Οι ερευνητές σημειώνουν ότι το botnet εκμεταλλεύεται επίσης CVE-2018-17532μια ευπάθεια στους δρομολογητές Teltonika RUT9XX καθώς και CVE-2023-1389το οποίο επηρεάζει τις συσκευές TP-Link.
Οι δείκτες συμβιβασμού (IoC) που σχετίζονται με την καμπάνια είναι διαθέσιμοι στο τέλος της αναφοράς του Akamai, μαζί με κανόνες Yara για τον εντοπισμό και τον αποκλεισμό της απειλής.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
