Threat Database Botnets Dark Mirai Botnet

Dark Mirai Botnet

På trods af at Mirai-botnettet blev lukket ned for år siden, lever dets arv videre. Efter udgivelsen af botnettets kildekode brugte mange cyberkriminelle den som grundlag for at skabe deres egne versioner af malwaren. En af udløberne af Mirai, der stadig er aktiv, spores af infosec-fællesskabet som Dark Mirai (alias MANGA). Og ifølge forskerne på Fortinet, som overvåger aktiviteterne i dette botnet, fortsætter dets operatører med at udstyre det med nye sårbarheder, der kan udnyttes.

En af de seneste, der er blevet tilføjet til Dark Mirai, påvirker en række populære TP-Link-hjemmeroutere. Mere specifikt er den berørte model TL-WR840N EU V5 udgivet i 2017. Den særlige sårbarhed - CVE-2021-41653 tillader en autentificeret bruger at udføre kommandoer på enheden på grund af en sårbar 'værts'-variabel. Det skal bemærkes, at TP-Link løste problemet med udgivelsen af en firmwareopdatering den 12. november 2021, så Dark Mirai-hackere satser på, at brugere ikke opdaterer deres enheder og forbliver sårbare.

Efter at have fundet en passende enhed, vil angriberne udnytte CVE-2021-41653-sårbarheden til at downloade og derefter udføre et script ved navn 'tshit.sh.' Dette script er derefter ansvarlig for at hente de vigtigste nyttelaster via to anmodninger. På grund af det faktum, at angriberne skal godkendes, er brugere, der stadig bruger standardlegitimationsoplysningerne til deres router, dem, der er mest tilbøjelige til at blive kompromitteret.

Når den er installeret, vil Dark Mirai identificere den inficerede routers arkitektur og derefter fortsætte med at hente en passende nyttelast. Truslen vil derefter isolere enheden fra potentiel infiltration fra andre konkurrerende botnets ved at lukke flere almindeligt målrettede porte. The Dark Mirai vil derefter forblive i dvale og vente på kommandoer fra dens Command-and-Control (C&C) server.

Trending

Mest sete

Indlæser...