Następny atak DDoS przeprowadzony przez ten botnet Mirai może również pochodzić z routera, kamery IP lub innych inteligentnych urządzeń.


Atakujący infekują liczne urządzenia z systemem Linux, takie jak routery i urządzenia inteligentne, aby wykorzystać je do kolejnego ataku DDoS. Wykorzystując łącznie 13 luk w zabezpieczeniach i ataki siłowe, czasami przejmują kontrolę nad Twoim Fritzboxem, kamerą IP i wieloma innymi urządzeniami IoT.


Nowe złośliwe oprogramowanie Mirai rozpoczyna atak na routery i urządzenia IoT


Cyberprzestępcy wykorzystują nowy wariant złośliwego oprogramowania o nazwie ?V3G4? do ataków na urządzenia oparte na systemie Linux, takie jak routery i urządzenia inteligentne. Po przejęciu infiltrowani uczestnicy sieci są wykorzystywani do przeprowadzania ataków DDoS (Distributed Denial of Service) na różne cele.


Jak donosi BleepingComputer, złośliwe oprogramowanie wykorzystuje łącznie 13 różnych luk w celu zdalnego wykonania złośliwego kodu na urządzeniach z systemem Linux. CVE-2012-4869: Luka w zabezpieczeniach FreePBX Elastix umożliwiająca zdalne wykonanie polecenia


Ogromna luka umożliwiająca zdalne wykonanie polecenia


CVE-2014-9727: Luka w zabezpieczeniach kamery internetowej FRITZ!Box umożliwiająca zdalne wykonanie polecenia


Luka w zabezpieczeniach Mitel AWC umożliwiająca zdalne wykonanie polecenia


CVE-2017-5173: Luka w zabezpieczeniach kamer IP firmy Geutebruck umożliwiająca zdalne wykonanie polecenia


CVE-2019-15107: Luka w zabezpieczeniach polegająca na wstrzyknięciu polecenia Webmin


Luka w zabezpieczeniach Spree Commerce umożliwiająca wykonanie dowolnego polecenia


Luka w zabezpieczeniach kamery termowizyjnej FLIR umożliwiająca zdalne wykonanie polecenia


CVE-2020-8515: Luka w zabezpieczeniach DrayTek Vigor umożliwiająca zdalne wykonanie polecenia


CVE-2020-15415: Luka w zabezpieczeniach DrayTek Vigor umożliwiająca wstrzyknięcie zdalnego polecenia


CVE-2022-36267: Luka w zabezpieczeniach umożliwiająca zdalne wykonanie polecenia Airspan AirSpot


CVE-2022-26134: Luka w zabezpieczeniach Atlassian Confluence umożliwiająca zdalne wykonanie kodu


CVE-2022-4257: Luka w zabezpieczeniach systemu zarządzania C-Data Web umożliwiająca wstrzyknięcie poleceń


Jednostka 42



Złośliwe oprogramowanie uzyskuje wstępny dostęp za pomocą ataku siłowego w celu ustalenia niezabezpieczonych danych logowania do usługi Telnet lub SSH. Nawet standardowe hasła są wybawieniem dla V3G4.


Trzy kampanie ataków mit liczne podobieństwa


Badacze bezpieczeństwa z Unit 42 w Palo Alto Networks odkryli to złośliwe oprogramowanie, które czasami wykorzystuje ukierunkowane ataki w celu włączenia routerów, takich jak Fritzbox, do botnetu. Między lipcem a grudniem 2022 r. zidentyfikowali łącznie trzy kampanie, za pośrednictwem których osoby atakujące konsekwentnie dystrybuowały swoje złośliwe oprogramowanie Mirai.


Badacze odkryli pewne podobieństwa w domenach C2 (Serwer zakończony i kontroli) zdeponowanych w kodzie źródłowym V3G4, kluczach deszyfrujących XOR, narzędziach do pobierania skryptów powłoki oraz funkcjonowaniu klientów botnetu. W związku z tym założyli, że wszystkie trzy kampanie musiały pochodzić od tego samego atakującego.


Złośliwe oprogramowanie eliminuje konkurencję i chroni się samo Jeśli atak złośliwego oprogramowania na router lub inne urządzenie z systemem Linux zakończył się sukcesem, oprogramowanie najpierw zabija kilka procesów z zakodowanej na stałe listy, która również była identyczna we wszystkich trzech kampaniach. Czasami powoduje to dezaktywację oprogramowania klienckiego konkurencyjnych botnetów.


Następnie podłączony serwer C2 wydaje zainfekowanym urządzeniom IoT polecenia ataku DDoS. W tym popularne metody zalewania TCP, UDP, SYN i HTTP.


V3G4 chroni własny kod za pomocą czterech różnych kluczy XOR. To sprawia, że ​​inżynieria wsteczna kodu źródłowego tego złośliwego oprogramowania jest znacznie trudniejsza niż w przypadku innych wariantów Mirai.


Można również założyć, że twórcy V3G4 mogą sprzedawać klientom swoje usługi DDoS. Jednak nie udało się jeszcze nawiązać połączenia ze znaną ofertą.


Jeśli chcesz chronić swój router, kamerę IP lub inne inteligentne urządzenia przed takim atakiem, zawsze powinieneś zmieniać standardowe hasła i zawsze zapewniać swoim urządzeniom najnowsze aktualizacje zabezpieczeń.