Νέο botnet εκμεταλλεύεται ευπάθειες σε συσκευές NVR και routers
Η ευπάθεια στα DigiEver NVRs εντοπίζεται στο endpoint /cgi-bin/cgi_main.cgi, όπου η ανεπαρκής επικύρωση εισόδου επιτρέπει σε μη εξουσιοδοτημένους επιτιθέμενους να εισάγουν εντολές όπως curl και chmod. Αυτή η τεχνική χρησιμοποιείται για τη λήψη του κακόβουλου αρχείου από εξωτερικό server και την εγγραφή της συσκευής στο botnet. Για να διατηρήσουν τον έλεγχο, οι επιτιθέμενοι δημιουργούν cron jobs που εξασφαλίζουν την επίμονη παρουσία του κακόβουλου λογισμικού.
Το botnet χρησιμοποιείται για επιθέσεις DDoS και για την εξάπλωση του κακόβουλου λογισμικού σε άλλες συσκευές, εκμεταλλευόμενο συνδυασμό γνωστών ευπαθειών και λιστών credentials. Σύμφωνα με την Akamai, το νέο botnet ξεχωρίζει για τη χρήση εξελιγμένων μεθόδων κρυπτογράφησης, όπως XOR και ChaCha20, και την ευελιξία του να στοχεύει διαφορετικές αρχιτεκτονικές συστημάτων, όπως x86, ARM και MIPS.
Η Akamai υπογραμμίζει ότι η χρήση τέτοιων πολύπλοκων μεθόδων υποδεικνύει την εξέλιξη των τακτικών και τεχνικών των χειριστών botnet. Οι δείκτες συμβιβασμού (IoC) που σχετίζονται με την καμπάνια περιλαμβάνονται στην πλήρη αναφορά της Akamai, μαζί με Yara rules για τον εντοπισμό και την απόκρουση της απειλής. Οι ερευνητές προτείνουν άμεση αναβάθμιση λογισμικού σε όλες τις επηρεαζόμενες συσκευές και την εφαρμογή μέτρων ασφαλείας για τον περιορισμό της πρόσβασης.
843
