Ένα DDoS malware botnet που βασίζεται στο γνωστό Mirai και είναι γνωστό ως IZ1H9, έχει προσθέσει δεκατρία νέα payloads για να επιτεθεί σε Linux-based routers και σε routers των εταιρειών D-Link, Zyxel, TP-Link, TOTOLINK και άλλων.
Οι ερευνητές της Fortinet παρατήρησαν αύξηση του ποσοστού εκμετάλλευσης κατά την πρώτη εβδομάδα του Σεπτεμβρίου. Μάλιστα, είπαν ότι εντόπισαν δεκάδες χιλιάδες προσπάθειες εκμετάλλευσης ευάλωτων συσκευών.
Το botnet IZ1H9 παραβιάζει τις συσκευές (ευάλωτα routers) για να τις ενσωματώσει στο δίκτυο DDoS και στη συνέχεια εκτελεί επιθέσεις DDoS σε συγκεκριμένους στόχους.
Όσες περισσότερες συσκευές παραβιάζονται, τόσο μεγαλύτερο και πιο ισχυρό γίνεται το botnet.
Δείτε επίσης: Το botnet P2PInfect βιώνει μια περίοδο υψηλής δραστηριότητας
Στην περίπτωση του IZ1H9, η Fortinet αναφέρει ότι χρησιμοποιεί exploits για τα ακόλουθα σφάλματα, που χρονολογούνται από το 2015 έως το 2023:
- D–Link συσκευές: CVE-2015-1187, CVE-2016-20017, CVE-2020-25506, CVE-2021-45382
- Netis WF2419: CVE-2019-19356
- Sunhillo SureLine (versions πριν την 8.7.0.1.1): CVE-2021-36380
- Geutebruck προϊόντα: CVE-2021-33544, CVE-2021-33548, CVE-2021-33549, CVE-2021-33550, CVE-2021-33551, CVE-2021-33552, CVE-2021-33553, CVE-2021-33554
- Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562
- Zyxel EMG3525/VMG1312 (πριν από V5.50): Το CVE δεν έχει καθοριστεί αλλά στοχεύει /bin/zhttpd/ component ευπάθεια συσκευών Zyxel
- TP-Link Archer AX21 (AX1800): CVE-2023-1389
- Korenix JetWave wireless AP: CVE-2023-23295
- TOTOLINK routers: CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083
Το Mirai-based botnet στοχεύει, επίσης, μια άλλη ευπάθεια που σχετίζεται με το “/cgi-bin/login.cgi” route, με πιθανές επιπτώσεις στο Prolink PRC2402M router.
Πώς γίνεται η επίθεση;
Μετά από την εκμετάλλευση ενός από τα προαναφερθέντα CVEs, ενσωματώνεται ένα IZ1H9 payload στη συσκευή. Αυτό περιέχει μια εντολή για την ανάκτηση ενός shell script downloader με το όνομα “l.sh“, από ένα καθορισμένο URL.
Μετά την εκτέλεση, το script διαγράφει τα αρχεία καταγραφής για να κρύψει την κακόβουλη δραστηριότητα. Έπειτα, ανακτά bot clients που έχουν σχεδιαστεί για διαφορετικές αρχιτεκτονικές συστημάτων.
Δείτε επίσης: Mirai botnet: Νέα έκδοση μολύνει οικονομικά Android TV boxes
Τέλος, το script τροποποιεί τα iptables rules της συσκευής για να εμποδίσει τη σύνδεση σε συγκεκριμένες θύρες και να δυσκολέψει την αφαίρεση του κακόβουλου λογισμικού από τη συσκευή.
Αφού γίνουν όλα αυτά, το IZ1H9 DDoS botnet αποκτά επικοινωνία με τον C2 (command and control) server και περιμένει εντολές. Οι υποστηριζόμενες εντολές αφορούν τον τύπο επίθεσης DDoS που θα εκτελεστεί.
Σύμφωνα με την Fortinet, το IZ1H9 διαθέτει και μια ενότητα δεδομένων με hardcoded credentials για brute-force επιθέσεις. Αυτές οι επιθέσεις μπορεί να είναι χρήσιμες για την εξάπλωση σε γειτονικές συσκευές.
Αυτή η νέα παραλλαγή του Mirai botnet χρησιμοποιεί τώρα 13 επιπλέον exploits, αυξάνοντας σημαντικά τον αριθμό των routers και των συσκευών IoT που μπορεί να στρατολογήσει για να επεκτείνει το botnet.
Πως μπορούμε να προστατευτούμε;
Εδώ προκύπτει το ερώτημα: υπάρχει τρόπος να προστατευτούμε από αυτή την απειλή; Η πρόληψη είναι το παν και στην καρδιά αυτής της προσέγγισης προστασίας, βρίσκεται η τακτική ενημέρωση των router και γενικά των συσκευών μας. Ασφαλώς, δεν είναι πάντα εφικτό να κρατάμε το λογισμικό ενημερωμένο ή να εφαρμόζουμε patches για όλα τα exploits που βρίσκονται εκεί έξω, αλλά είναι σημαντικό να εφαρμόζουμε άμεσα όλες τις διαθέσιμες ενημερώσεις για να αποφύγουμε τουλάχιστον τις ευπάθειες που είναι ήδη γνωστές και έχουν διορθωθεί.
Δείτε επίσης: HTTP/2 Rapid Reset: Νέα επίθεση DDoS εκμεταλλεύεται ως zero-day
Η επαγρύπνηση είναι το κλειδί
Επιπλέον, δεν μπορούμε να υποτιμήσουμε τη σημασία της επαγρύπνησης. Eίναι σημαντικό να παρακολουθούμε τακτικά για τυχόν ύποπτες κινήσεις στο δίκτυό μας. Η κατανόηση και η αναγνώριση των σημάτων μιας πιθανής επίθεσης Mirai μπορεί να είναι μια σημαντική πρώτη γραμμή άμυνας.
Πηγή: www.bleepingcomputer.com
