یک Botnet مبتنی بر Mirai از یک مشکل امنیتی اجرای کد در دستگاههای DigiEver DS-2105 Pro NVRs سوءاستفاده میکند؛ مشکلی که هنوز ثبت و برطرف نشده است.
این کمپین از اکتبر آغاز شده و دستگاههای ضبط ویدیویی شبکهای (NVRs) و روترهای TP-Link که دارای فریمور (Firmware) قدیمی هستند را هدف قرار میدهد.
یکی از آسیبپذیریهایی که در این کمپین مورد استفاده قرار گرفته است، توسط محقق TXOne، Ta-Lun Yen مستند شده و سال گذشته در کنفرانس امنیتی DefCamp در بخارست، رومانی ارائه شده است. این محقق در آن زمان گفته بود که این مشکل (آسیبپذیری) بر چندین دستگاه DVR تأثیر میگذارد.
محققان Akamai مشاهده کردند که این Botnet از اواسط نوامبر شروع به بهرهبرداری از این آسیبپذیری کرده است، اما شواهدی پیدا کردهاند که نشان میدهد این کمپین حداقل از سپتامبر فعال بوده است.
علاوه بر آسیبپذیری DigiEver، نوع جدید بدافزار Mirai همچنین CVE-2023-1389 در دستگاههای TP-Link و CVE-2018-17532 در روترهای Teltonika RUT9XX را هدف قرار میدهد.
حملات به دستگاههای DigiEver NVR
آسیبپذیریای که برای نفوذ به دستگاههای NVR DigiEver مورد سوءاستفاده قرار گرفته، یک آسیبپذیری اجرای کد از راه دور (RCE) است. هکرها URI مربوط به ‘/cgi-bin/cgi_main.cgi’ را هدف قرار دادهاند، که در آن ورودیهای کاربر به درستی اعتبارسنجی نمیشود.
این آسیبپذیری به مهاجمان راه دور غیرمجاز اجازه میدهد تا فرمانهایی مانند curl و chmod را از طریق برخی پارامترها، مانند فیلد ntp در درخواستهای HTTP POST تزریق کنند.
شرکت Akamai میگوید حملاتی که از سوی این Botnet مبتنی بر Mirai مشاهده کرده است، به نظر مشابه حملاتی هستند که در ارائه Ta-Lun Yen توضیح داده شده است.
از طریق تزریق فرمان (Command Injection)، مهاجمان فایل بدافزار را از یک سرور خارجی دانلود کرده و دستگاه را به بوتنت خود اضافه میکنند. پایداری این بدافزار با افزودن وظایف cron (زمانبندیشده) به دست میآید.
پس از نفوذ به دستگاه، از آن برای انجام حملات انکار خدمات توزیعشده (DDoS) یا برای گسترش به دستگاههای دیگر با استفاده از مجموعههای بهرهبرداری (exploit sets) و فهرستهای اطلاعات ورود (credential lists) استفاده میشود.
شرکت Akamai میگوید نسخه جدید Mirai برای استفاده از رمزنگاری XOR و ChaCha20 و هدف قرار دادن مجموعه گستردهای از معماریهای سیستم، از جمله x86، ARM و MIPS، قابل توجه است.
Akamai تاکید کرد که : اگرچه استفاده از روشهای پیچیده رمزگشایی جدید نیست، اما این تغییرات نشان میدهد که اپراتورهای بوتنتهای Mirai در حال تکامل و بهبود روشهای خود هستند.
محققان میگویند: “این موضوع بیشتر قابل توجه است زیرا بسیاری از Botnet های مبتنی بر Mirai هنوز به منطق اختلال در رشتههای متنی (string obfuscation) اصلی وابسته هستند که از کد بازیافتی استفاده میکند و در انتشار کد منبع اولیه بدافزار Mirai گنجانده شده بود.”
محققان اشاره میکنند که این Botnet همچنین از CVE-2018-17532، یک آسیبپذیری در روترهای Teltonika RUT9XX، و همچنین CVE-2023-1389، که بر روی دستگاههای TP-Link تأثیر میگذارد، بهرهبرداری میکند.
شاخصهای نفوذ ( IoC ) و قوانین Yara برای شناسایی و مسدود کردن تهدید در انتهای گزارش Akamai موجود هستند.