Νέο botnet εκμεταλλεύεται ευπάθειες σε συσκευές NVR και routers

Ερευνητές από την Akamai προειδοποιούν για ένα νέο botnet βασισμένο στο Mirai, το οποίο εκμεταλλεύεται μια μη διορθωμένη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE) σε συσκευές DigiEver DS-2105 Pro NVRs. Η επίθεση αυτή ξεκίνησε τον Οκτώβριο, αλλά υπάρχουν στοιχεία ότι είναι ενεργή τουλάχιστον από τον Σεπτέμβριο. Επιπλέον, το botnet στοχεύει και άλλες ευπάθειες σε TP-Link routers και Teltonika RUT9XX routers, εκμεταλλευόμενο γνωστά CVE, όπως τα CVE-2023-1389 και CVE-2018-17532.

Η ευπάθεια στα DigiEver NVRs εντοπίζεται στο endpoint /cgi-bin/cgi_main.cgi, όπου η ανεπαρκής επικύρωση εισόδου επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να εισάγουν εντολές όπως curl και chmod. Αυτή η τεχνική χρησιμοποιείται για τη λήψη του κακόβουλου αρχείου από εξωτερικό server και την εγγραφή της συσκευής στο botnet. Για να διατηρήσουν τον έλεγχο, οι επιτιθέμενοι δημιουργούν cron jobs που εξασφαλίζουν την επίμονη παρουσία του κακόβουλου λογισμικού.

Το botnet χρησιμοποιείται για επιθέσεις DDoS και για την εξάπλωση του κακόβουλου λογισμικού σε άλλες συσκευές, εκμεταλλευόμενο συνδυασμό γνωστών ευπαθειών και λιστών credentials. Σύμφωνα με την Akamai, το νέο botnet ξεχωρίζει για τη χρήση εξελιγμένων μεθόδων κρυπτογράφησης, όπως XOR και ChaCha20, και την ευελιξία του να στοχεύει διαφορετικές αρχιτεκτονικές συστημάτων, όπως x86, ARM και MIPS.

Η Akamai υπογραμμίζει ότι η χρήση τέτοιων πολύπλοκων μεθόδων υποδεικνύει την εξέλιξη των τακτικών και τεχνικών των χειριστών botnet. Οι δείκτες συμβιβασμού (IoC) που σχετίζονται με την καμπάνια περιλαμβάνονται στην πλήρη αναφορά της Akamai, μαζί με Yara rules για τον εντοπισμό και την απόκρουση της απειλής. Οι ερευνητές προτείνουν άμεση αναβάθμιση λογισμικού σε όλες τις επηρεαζόμενες συσκευές και την εφαρμογή μέτρων ασφαλείας για τον περιορισμό της πρόσβασης.