یک باتنت نسبتاً جدید که بر اساس کد Mirai ساخته شده است، به سطح بالاتری از پیچیدگی رسیده و اکنون با استفاده از آسیبپذیریهای ناشناخته (روز صفر) به روترهای صنعتی و دستگاههای خانه هوشمند حمله میکند.
طبق گفته محققان آزمایشگاه Chainxin X، که فعالیتها و حملات باتنت را زیر نظر داشتند، سوءاستفاده از آسیبپذیریهای ناشناخته قبلی از نوامبر ۲۰۲۴ آغاز شده است.
یکی از مشکلات امنیتی، آسیبپذیری CVE-2024-12856 در روترهای صنعتی Four-Faith است که توسط شرکت VulnCheck در اواخر دسامبر کشف شد؛ بااینحال، تلاشهایی برای سوءاستفاده از این آسیبپذیری پیش از این، حدود ۲۰ دسامبر، مشاهده شده بود.
این باتنت از یک اکسپلویت روز صفر برای آسیبپذیری CVE-2024-12856، که روترهای Four-Faith را هدف قرار میدهد، استفاده کرده و همزمان از اکسپلویتهای سفارشی دیگری برای نقصهای امنیتی در روترهای Neterbit و دستگاههای خانه هوشمند Vimar نیز بهره برده است.
پروفایل Botnet
این باتنت، که نام آن دارای اشارهای توهینآمیز به افراد همجنسگرا است، علاوه بر این، از اکسپلویتهای سفارشی برای آسیبپذیریهای ناشناخته در روترهای Neterbit و دستگاههای خانه هوشمند Vimar سوءاستفاده میکند.
این باتنت که سال گذشته در فوریه شناسایی شد، اکنون دارای ۱۵,۰۰۰ گره فعال روزانه است که بیشتر آنها در کشورهای چین، ایالات متحده، روسیه، ترکیه و ایران متمرکز هستند.
هدف اصلی این باتنت بهنظر میرسد اجرای حملات انکار سرویس توزیعشده (DDoS) علیه اهداف مشخص برای کسب سود باشد. این باتنت روزانه صدها نهاد را هدف قرار میدهد و اوج فعالیت آن در ماههای اکتبر و نوامبر سال ۲۰۲۴ رخ داده است.
این بدافزار با استفاده از ترکیبی از اکسپلویتهای عمومی و خصوصی برای بیش از ۲۰ آسیبپذیری، به دستگاههای متصل به اینترنت نفوذ میکند و دستگاههای DVR، روترهای صنعتی و خانگی و دستگاههای خانه هوشمند را هدف قرار میدهد.
بهطور خاص، این بدافزار اهداف زیر را هدف قرار میدهد:
روترهای ASUS (از طریق اکسپلویتهای N-day).
روترهای Huawei (از طریق آسیبپذیری CVE-2017-17215)
روترهای Neterbit (از طریق اکسپلویت سفارشی)
روترهای LB-Link (از طریق آسیبپذیری CVE-2023-26801)
روترهای صنعتی Four-Faith (از طریق روز صفر که اکنون با شناسه CVE-2024-12856 ردیابی میشود)
دوربینهای PZT (از طریق آسیبپذیریهای CVE-2024-8956 و CVE-2024-8957)
دستگاههای DVR Kguard
دستگاههای DVR Lilin (از طریق اکسپلویتهای اجرای کد از راه دور)
دستگاههای DVR عمومی (با استفاده از اکسپلویتهایی مانند TVT editBlackAndWhiteList RCE)
دستگاههای خانه هوشمند Vimar (احتمالاً از طریق آسیبپذیری افشا نشده)
دستگاههای مختلف ۵G/LTE (احتمالاً از طریق پیکربندیهای نادرست یا اعتبارنامههای ضعیف)
این باتنت دارای یک ماژول حمله brute-force برای پیدا کردن پسوردهای ضعیف Telnet است، از بستهبندی فشردهسازی سفارشی UPX با امضاهای منحصر به فرد استفاده میکند و ساختارهای دستوری مبتنی بر Mirai را برای بروزرسانی مشتریان، اسکن شبکهها و انجام حملات DDoS بهکار میبرد.
گزارشهای آزمایشگاه X نشان میدهند که حملات DDoS این باتنت کوتاهمدت و بین ۱۰ تا ۳۰ ثانیه طول میکشند، اما از شدت بالایی برخوردارند و ترافیک آنها بیش از ۱۰۰ گیگابیت بر ثانیه است که میتواند حتی برای زیرساختهای مقاوم نیز اختلال ایجاد کند.
آزمایشگاه X توضیح میدهد. : هدفهای حملات در سرتاسر جهان پخش شدهاند و در صنایع مختلف توزیع شدهاند.
پژوهشگران میگویند که هدفهای اصلی حملات در کشورهای چین، ایالات متحده، آلمان، بریتانیا و سنگاپور توزیع شدهاند.
بهطور کلی، این باتنت قابلیت منحصربهفردی دارد که به آن امکان میدهد نرخهای بالای آلودهسازی را در انواع مختلف دستگاهها حفظ کند، بهطوری که از اکسپلویتهای آسیبپذیریهای n-day و حتی روز صفر استفاده میکند.
کاربران میتوانند با نصب آخرین بهروزرسانیهای دستگاه از سوی فروشنده، غیرفعال کردن دسترسی از راه دور در صورت عدم نیاز و تغییر اعتبارنامههای پیشفرض حساب مدیر، از دستگاههای خود محافظت کنند.
