Ένα νέο botnet που βασίζεται στο Mirai εκμεταλλεύεται ευπάθειες σε πολλές συσκευές, εστιάζοντας σε μη επιδιορθωμένα DigiEver DS-2105 Pro NVR, χρονολογημένο υλικολογισμικό σε δρομολογητές TP-Link και δρομολογητές Teltonika RUT9XX. Η εκστρατεία ξεκίνησε τον Οκτώβριο, με την ενεργό εκμετάλλευση να ξεκινά από τον Σεπτέμβριο. Οι ερευνητές της Akamai έχουν επιβεβαιώσει συνεχιζόμενες επιθέσεις, οι οποίες αξιοποιούν πολλαπλά ελαττώματα εκτέλεσης απομακρυσμένου κώδικα για τη συμμετοχή συσκευών στο botnet για κακόβουλες δραστηριότητες.
Το νέο botnet Mirai εκμεταλλεύεται ευπάθειες σε διάφορες συσκευές
Το botnet στοχεύει μια συγκεκριμένη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) στα NVR DigiEver, η οποία περιλαμβάνει ακατάλληλη επικύρωση εισόδου στο URI ‘/cgi-bin/cgi_main.cgi’. Οι χάκερ μπορούν να εισάγουν εξ αποστάσεως εντολές όπως «curl» και «chmod» μέσω παραμέτρων όπως το πεδίο ntp στα αιτήματα HTTP POST. Ta-Lun Yen από το TXOne προηγουμένως τονίζεται αυτό το θέμα ευπάθειας, σημειώνοντας τον αντίκτυπό του σε διάφορες συσκευές DVR κατά τη διάρκεια μιας παρουσίασης στο συνέδριο ασφαλείας DefCamp.
Εκτός από το ελάττωμα του DigiEver, η παραλλαγή Mirai εκμεταλλεύεται επίσης CVE-2023-1389 σε συσκευές TP-Link και CVE-2018-17532 σε δρομολογητές Teltonika RUT9XX. Οι ερευνητές έχουν σημειώσει ότι ενώ οι επιθέσεις σε συσκευές DigiEver έχουν παρατηρηθεί άμεσα από τον Akamai, αντικατοπτρίζουν παρόμοιες μεθόδους που περιγράφηκαν προηγουμένως από το Yen. Η εκμετάλλευση αυτών των ελαττωμάτων υποστηρίζει μια εκστρατεία με στόχο τη δημιουργία ερείσματος σε ευάλωτες συσκευές.
Χρησιμοποιείτε το TP-Link; Να γιατί οι ΗΠΑ ενδέχεται να απαγορεύσουν τον δρομολογητή σας
Μεθοδολογία και τεχνικές που χρησιμοποιούνται από τους επιτιθέμενους
Μέσω της ένεσης εντολών, οι εισβολείς μπορούν να ανακτήσουν δυαδικά αρχεία κακόβουλου λογισμικού που φιλοξενούνται σε εξωτερικούς διακομιστές, διευκολύνοντας την προσθήκη παραβιασμένων συσκευών στο botnet. Μόλις τεθούν υπό έλεγχο, οι συσκευές μπορούν να χρησιμοποιηθούν για την έναρξη επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS) ή για τη διευκόλυνση περαιτέρω επιθέσεων σε άλλους στόχους. Η επιμονή στα μολυσμένα συστήματα διατηρείται με την εισαγωγή εργασιών cron, οι οποίες διασφαλίζουν ότι το κακόβουλο λογισμικό παραμένει ενεργό παρά τις πιθανές επανεκκινήσεις ή άλλες διακοπές.
ευρήματα του Akamai αποκορύφωμα ότι αυτή η νέα παραλλαγή Mirai διαθέτει προηγμένες μεθόδους κρυπτογράφησης, συμπεριλαμβανομένων των XOR και ChaCha20, υποδεικνύοντας τις εξελισσόμενες τακτικές μεταξύ των χειριστών botnet. Σε αντίθεση με πολλές προηγούμενες επαναλήψεις του Mirai, οι οποίες βασίζονταν στη βασική συσκότιση χορδών, αυτή η παραλλαγή δείχνει την πρόθεση να βελτιώσει την αποφυγή και τη λειτουργική ασφάλεια. Στοχεύει σε ένα ευρύ φάσμα αρχιτεκτονικών, συμπεριλαμβανομένων των x86, ARM και MIPS, διευρύνοντας τον πιθανό αντίκτυπό του σε διάφορους τύπους συσκευών.
Οι ερευνητές του Akamai προτρέπουν τους ιδιοκτήτες και τους διαχειριστές συσκευών να υιοθετήσουν προληπτικά μέτρα, συμπεριλαμβανομένης της παρακολούθησης για δείκτες συμβιβασμού (IoC), που έχουν καταστήσει διαθέσιμα μαζί με τους κανόνες του Yara για τον εντοπισμό και τον αποκλεισμό της αναδυόμενης απειλής.
Πίστωση επιλεγμένης εικόνας: Κερέμ Γκιουλέν/Μέσα ταξίδι
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
