Una nuova botnet basata su Mirai sfrutta le vulnerabilità di diversi dispositivi, concentrandosi su NVR DigiEver DS-2105 Pro senza patch, firmware datato su router TP-Link e router Teltonika RUT9XX. La campagna è iniziata in ottobre, e lo sfruttamento attivo risale addirittura a settembre. I ricercatori Akamai hanno confermato gli attacchi in corso, che sfruttano molteplici difetti di esecuzione del codice in modalità remota per inserire dispositivi nella botnet per attività dannose.
La nuova botnet Mirai sfrutta le vulnerabilità in vari dispositivi
La botnet prende di mira una specifica vulnerabilità RCE (Remote Code Execution) negli NVR DigiEver, che comporta una convalida errata dell’input nell’URI “/cgi-bin/cgi_main.cgi”. Gli hacker possono iniettare in remoto comandi come “curl” e “chmod” attraverso parametri come il campo ntp nelle richieste HTTP POST. Ta-Lun Yen di TXOne in precedenza evidenziato questa vulnerabilità, sottolineandone l’impatto su vari dispositivi DVR durante una presentazione alla conferenza sulla sicurezza DefCamp.
Oltre al difetto DigiEver, sfrutta anche la variante Mirai CVE-2023-1389 nei dispositivi TP-Link e CVE-2018-17532 nei router Teltonika RUT9XX. I ricercatori hanno notato che, sebbene gli attacchi ai dispositivi DigiEver siano stati osservati direttamente da Akamai, riflettono metodi simili precedentemente descritti da Yen. Lo sfruttamento di questi difetti supporta una campagna che mira a stabilire un punto d’appoggio nei dispositivi vulnerabili.
Utilizzi TP-Link? Ecco perché gli Stati Uniti potrebbero vietare il tuo router
Metodologia e tecniche utilizzate dagli aggressori
Attraverso l’iniezione di comandi, gli aggressori possono recuperare file binari di malware ospitati su server esterni, facilitando l’aggiunta di dispositivi compromessi alla botnet. Una volta sotto controllo, i dispositivi possono essere utilizzati per lanciare attacchi DDoS (Distributed Denial of Service) o facilitare ulteriori attacchi contro altri obiettivi. La persistenza all’interno dei sistemi infetti viene mantenuta introducendo processi cron, che garantiscono che il malware rimanga attivo nonostante potenziali riavvii o altre interruzioni.
I risultati di Akamai evidenziare che questa nuova variante Mirai presenta metodi di crittografia avanzati, tra cui XOR e ChaCha20, indicando tattiche in evoluzione tra gli operatori botnet. A differenza di molte versioni precedenti di Mirai, che si basavano sull’offuscamento di base delle stringhe, questa variante mostra l’intento di migliorare l’evasione e la sicurezza operativa. Si rivolge a una vasta gamma di architetture, tra cui x86, ARM e MIPS, ampliando il suo potenziale impatto su vari tipi di dispositivi.
I ricercatori Akamai esortano i proprietari e gli amministratori dei dispositivi ad adottare misure proattive, compreso il monitoraggio degli indicatori di compromissione (IoC), che hanno reso disponibili insieme alle regole Yara per il rilevamento e il blocco della minaccia emergente.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
