SORA Botnet

SORA Botnet er en variant baseret på koden for det berygtede Mirai Botnet. Siden Mirais kildekode blev offentliggjort på et hackerforum i 2016, er der opdaget flere kampagner, der involverer tilpassede varianter af botnet. I SORAs tilfælde var det designet til at misbruge to sårbarheder. Til udførelse af fjernkode udnytter den CVE-2017-17215, mens CVE-2018-10561 giver malware muligheden for at administrere den inficerede enhed.

Når en passende enhed er kompromitteret, slettes en downloader fra Command-and-Control (C2, C&C) infrastrukturen, der er oprettet til kampagnen. Denne første-trins malware er ansvarlig for at levere og udføre den faktiske SORA-nyttelast i anden fase af angrebskæden.

SORA blev indsat sammen med en anden Mirai Botnet- variant kaldet UNSTABLE i en kampagne rettet mod Rasilient PixelStor5000 videoovervågningslagersystemer. Den specifikke indtastningsvektor var CVE-2020-6756-sårbarheden, som giver hackere mulighed for at udføre RCE-kommandoer gennem 'lang' parameteren.

Da botnets har brug for en betydelig mængde kompromitterede enheder, som de i sig selv bliver til bots for at udføre deres funktioner, er det ikke så overraskende, når hackerne beslutter at udvide deres oprindelige række af mål. Når kritisk masse nås, kan botnets forårsage massive forstyrrelser gennem DDoS-angreb (Distributed Denial of Service). Faktisk er de fleste kriminelters mål at tilbyde deres botnet til leje til enhver potentiel trusselsaktør, der ønsker at udføre sådanne angreb.