Тъмен ботнет Mirai

Въпреки че ботнетът Mirai беше затворен преди години, неговото наследство продължава да живее. След пускането на изходния код на ботнета много киберпрестъпници го използваха като основа за създаване на свои собствени версии на зловредния софтуер. Една от издънките на Mirai, която все още е активна, се проследява от общността на Infosec като Dark Mirai (известна още като MANGA). И според изследователите от Fortinet, които наблюдават дейностите на този ботнет, неговите оператори продължават да го оборудват с нови уязвимости за използване.

Един от последните, добавени към Dark Mirai, се отразява на линията популярни домашни рутери TP-Link. По-конкретно, засегнатият модел е TL-WR840N EU V5, пуснат през 2017 г. Конкретната уязвимост - CVE-2021-41653 позволява на удостоверен потребител да изпълнява команди на устройството поради уязвима 'host' променлива. Трябва да се отбележи, че TP-Link адресира проблема с пускането на актуализация на фърмуера на 12 ноември 2021 г., така че хакерите на Dark Mirai разчитат на потребителите, които не актуализират своите устройства и остават уязвими.

След като открият подходящо устройство, нападателите ще използват уязвимостта CVE-2021-41653, за да изтеглят и след това да изпълнят скрипт на име 'tshit.sh.' След това този скрипт е отговорен за извличането на основните полезни товари чрез две заявки. Поради факта, че нападателите трябва да бъдат удостоверени, потребителите, които все още използват идентификационните данни по подразбиране за своя рутер, са най-вероятно да бъдат компрометирани.

Когато бъде разгърнат, Dark Mirai ще идентифицира архитектурата на заразения рутер и след това ще продължи да извлича подходящ полезен товар. След това заплахата ще изолира устройството от потенциална инфилтрация от други конкурентни ботнети, като изключи няколко често насочени порта. След това Dark Mirai ще остане в латентно състояние, чакайки команди от своя сървър за командване и управление (C&C).