Mirai botnet varijanta praćena kao IZ1H9 ažurirala je svoj arsenal s 13 novih payloada za korištenje različitih rutera zasnovanih na Linuxu, IP kamera i drugih IoT uređaja. Ovi eksploati ciljaju na ranjivosti u uređajima D-Link, TP-Link, Zyxel, Netis, Sunhillo SureLine, Geutebruck, Yealink Device Management, Zyxel, TP-Link Archer, Korenix JetWave i TOTOLINK.
Značajna evolucija u botnetu dolazi do izražaja tokom otkrivanja nove DDoS kampanje. FortiGuard Labs je uočio vrhunac u eksploataciji ranjivosti 6. septembra, sa brojem pokretača koji je dostigao desetine hiljada.
Dodani su novi eksploati
Fortinet izvještava da botnet koristi eksploatacije za propuste koji datiraju od 2015. do 2023. godine.
- Četiri od ovih nedostataka odnose se na D-Link uređaje.
- Osam drugih eksploata cilja na greške u izvršavanju proizvoljnih naredbi koje pripadaju proizvodima iz Geutebrucka.
- Jedna mana praćena kao CVE-2019-19356 cilja na Netis WF2419.
- Arsenal IZ1H9 takođe uključuje eksploataciju za ranjivost ubrizgavanja komande (CVE-2023-23295) u Korenix JetWave rutere, jednu za ranjivost daljinskog izvršavanja koda (za CVE-2019-19356) u Netis WF2419 bežične komandne rutere i drugu problem ubrizgavanja (CVE-2021-36380) Sunhillo SureLine aplikacija.
- Dodatno, botnet uključuje eksploatacije 12 ranjivosti u izvršavanju naredbi koje utiču na TOTOLINK rutere.
Proces infekcije
- Nakon iskorištavanja jednog od gore navedenih CVE-ova, IZ1H9 botnet payload se ubrizgava u uređaj.
- Ovaj payload sadrži naredbu koja nalaže uređaju da preuzme program za preuzimanje shell skripte pod nazivom “l.sh” sa određenog URL-a.
- Kada se preuzeta skripta izvrši, ona prvo briše zapisnike kako bi sakrila sve maliciozne aktivnosti.
- Zatim preuzima bot klijente koji su dizajnirani da rade na različitim sistemskim arhitekturama.
- Nakon što završi ove radnje, bot uspostavlja komunikaciju sa C2 serverom za pokretanje različitih tipova DDoS napada kao što su UDP, UDP Plain, HTTP Flood i TCP SYN.
Zaključak
Izloženost uređaja ovim ranjivostima može dovesti do ozbiljnih rizika. Kako botnet proširuje svoj arsenal novim okidačima za eksploataciju, on naglašava važnost primjene sigurnosnih zakrpa na vrijeme.
Izvor: Cyware Alerts – Hacker News
