Um novo botnet baseado em Mirai explora vulnerabilidades em vários dispositivos, com foco em NVRs DigiEver DS-2105 Pro não corrigidos, firmware desatualizado em roteadores TP-Link e roteadores Teltonika RUT9XX. A campanha começou em Outubro, com a exploração activa remontando a Setembro. Os pesquisadores da Akamai confirmaram ataques contínuos, que aproveitam várias falhas de execução remota de código para inscrever dispositivos na botnet para atividades maliciosas.
Novo botnet Mirai explora vulnerabilidades em vários dispositivos
O botnet tem como alvo uma vulnerabilidade específica de execução remota de código (RCE) em NVRs DigiEver, que envolve validação de entrada inadequada no URI ‘/cgi-bin/cgi_main.cgi’. Os hackers podem injetar remotamente comandos como ‘curl’ e ‘chmod’ por meio de parâmetros como o campo ntp em solicitações HTTP POST. Ta-Lun Yen da TXOne anteriormente destacado esta vulnerabilidade, observando seu impacto em vários dispositivos DVR durante uma apresentação na conferência de segurança DefCamp.
Além da falha DigiEver, a variante Mirai também explora CVE-2023-1389 em dispositivos TP-Link e CVE-2018-17532 em roteadores Teltonika RUT9XX. Os pesquisadores notaram que, embora os ataques aos dispositivos DigiEver tenham sido observados diretamente pela Akamai, eles refletem métodos semelhantes descritos anteriormente por Yen. A exploração destas falhas apoia uma campanha que visa estabelecer uma posição segura em dispositivos vulneráveis.
Usando TP-Link? Veja por que os EUA podem proibir seu roteador
Metodologia e técnicas usadas pelos invasores
Através da injeção de comandos, os invasores podem buscar binários de malware hospedados em servidores externos, facilitando a adição de dispositivos comprometidos à botnet. Uma vez sob controle, os dispositivos podem ser utilizados para lançar ataques distribuídos de negação de serviço (DDoS) ou facilitar novos ataques a outros alvos. A persistência nos sistemas infectados é mantida através da introdução de tarefas cron, que garantem que o malware permaneça ativo apesar de possíveis reinicializações ou outras interrupções.
As descobertas da Akamai destaque que esta nova variante do Mirai apresenta métodos avançados de criptografia, incluindo XOR e ChaCha20, indicando táticas em evolução entre os operadores de botnets. Ao contrário de muitas iterações anteriores do Mirai, que dependiam da ofuscação básica de strings, esta variante mostra a intenção de melhorar a evasão e a segurança operacional. Ele tem como alvo uma ampla gama de arquiteturas, incluindo x86, ARM e MIPS, ampliando seu impacto potencial em vários tipos de dispositivos.
Os pesquisadores da Akamai incentivam os proprietários e administradores de dispositivos a adotarem medidas proativas, incluindo o monitoramento de indicadores de comprometimento (IoC), que disponibilizaram junto com as regras da Yara para detectar e bloquear a ameaça emergente.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada
