Bir izleyici numarası almayan ve Digiever DS-2105 Pro NVRS'de açılmış gibi görünen bir uzaktan kod yürütme güvenlik açığından aktif olarak yararlanan yeni bir Mirai tabanlı botnetis.
Kampanya Ekim ayında başladı ve modası geçmiş ürün yazılımı ile birden fazla ağ video kaydedicisi ve TP-Link yönlendiricileri hedefliyor.
Kampanyada kullanılan güvenlik açıklarından biri Txone araştırmacısı Ta-Lun Yen tarafından belgelendi ve geçen yıl Bükreş, Romanya'daki Defcamp Güvenlik Konferansı'nda sunuldu. Araştırmacı, sorunun birden fazla DVR cihazını etkilediğini söyledi.
Akamai araştırmacıları, Botnet'in Kasım ayı ortalarında kusurdan yararlanmaya başladığını gözlemledi, ancak kampanyanın en az Eylül ayından bu yana aktif olduğuna dair kanıt buldular.
DiGiever Kusurunun yanı sıra, yeni Mirai kötü amaçlı yazılım varyantı ayrıca TP-Link cihazlarında CVE-2023-1389'u ve CVE-2018-17532'yi Teltonika RUT9XX yönlendiricilerinde hedefliyor.
Digiaver NVRS'den ödün vermek için kullanılan güvenlik açığı bir Uzak Kod Yürütme (RCE) Kusurdur ve bilgisayar korsanları '/CGI-BIN/CGI_MAIN'i hedeflemektedir. Kullanıcı girişlerini uygunsuz bir şekilde doğrulayan CGI 'URI.
Bu, uzaktan kalmamış saldırganların HTTP Post isteklerindeki NTP alanı gibi belirli parametreler aracılığıyla 'curl' ve 'chmod' gibi komutları enjekte etmelerini sağlar.
Akamai, bu Mirai merkezli Botnet tarafından gördüğü saldırıların Ta-Lun Yen'in sunumunda açıklananlara benzer olduğunu söylüyor.
Komut enjeksiyonu yoluyla, saldırganlar harici bir sunucudan kötü amaçlı yazılım ikilisini getirir ve cihazı botnet'e kaydeder. Kalıcılık Cron işleri eklenerek elde edilir.
Cihaz tehlikeye atıldıktan sonra, daha sonra dağıtılmış hizmet reddi (DDOS) saldırıları yapmak veya istismar setlerinden ve kimlik bilgisi listelerinden yararlanarak diğer cihazlara yayılmak için kullanılır.
Akamai, yeni Mirai varyantının XOR ve Chacha20 şifrelemesini kullanması ve X86, ARM ve MIP'ler dahil olmak üzere çok çeşitli sistem mimarilerini hedeflemesi ile dikkat çektiğini söylüyor.
Akamai, "Karmaşık şifre çözme yöntemleri kullanmak yeni olmasa da, Mirai merkezli botnet operatörleri arasında gelişen taktikler, teknikler ve prosedürler öneriyor."
Araştırmacılar, "Bu çoğunlukla dikkat çekicidir, çünkü birçok Mirai tabanlı botnet hala orijinal Mirai kötü amaçlı yazılım kaynak kodu sürümüne dahil edilen geri dönüştürülmüş koddan orijinal dize gizleme mantığına bağlıdır." Diyor.
Araştırmacılar, BOTNET'in ayrıca TP-bağlantı cihazlarını etkileyen CVE-2023-1389'da bir güvenlik açığı olan CVE-2018-17532'den de yararlandığını belirtiyor.
Kampanya ile ilişkili uzlaşma göstergeleri (IOC) Akamai'nin raporunun sonunda, tehdidi tespit etmek ve engellemek için Yara kuralları mevcuttur.
Juniper, Mirai Botnet Scanning için Smart Routers için Uyarıyor
Botnet Mirai Kötü Yazılımları Yüklemek İçin Geovision Sıfır Gününden Serbest Yazılıyor
Kötü Yazılım Botnets Son Saldırılarda Eski D-Link Yönlendiricilerini Söküyor
Badbox kötü amaçlı yazılım Botnet, bozulmaya rağmen 192.000 Android cihaza bulaşır
FBI Spots Hiatusrat kötü amaçlı yazılım saldırıları Web kameralarını hedefleyen, DVRS
Kaynak: Bleeping Computer