Veszély-adatbázis Botnetek AIRASHI botnet

AIRASHI botnet

A Cambium Networks cnPilot útválasztóinak nulladik napi sebezhetősége lett a legújabb eszköz a kiberbűnözők számára, akik az AIRASHI néven ismert AISURU botnet változatot telepítik. Ez a 2024 júniusa óta aktív kampány a hibát kihasználva erőteljes, elosztott szolgáltatásmegtagadási (DDoS) támadásokat irányít. A biztonsági kutatók elhallgattak konkrétumokat a biztonsági résről, hogy korlátozzák a visszaélést, amíg a vizsgálatok folyamatban vannak.

A kihasznált sebezhetőségek története

Az AIRASHI botnet nem korlátozódik egyetlen támadási vektorra. Sebezhetőségek sorozatát fegyverezi fel, beleértve a CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-85102, CVE-85102, CVE-5-7 CVE-2022-40005, CVE-2022-44149, CVE-2023-287 és egyéb hibák az AVTECH IP-kamerákban, a LILIN DVR-ekben és a Shenzhen TVT-eszközökben. A gyengeségek e széles spektrumát kihasználva az AIRASHI tovább növeli elérhetőségét és kifinomultságát.

DDoS támadási képességek: közelebbről

Az AIRASHI mögött álló operátorok nem félnek tevékenységeiktől, és közzéteszik a botnet DDoS képességeinek teszteredményeit a Telegramon. A korábbi adatok azt mutatják, hogy támadási kapacitása 1-3 Tbps körül stabilizálódik. Földrajzilag a legtöbb kompromittált eszköz Brazíliában, Oroszországban, Vietnamban és Indonéziában található. A célpontok azonban olyan régiókban összpontosulnak, mint Kína, az Egyesült Államok, Lengyelország és Oroszország, ahol a botnet káros működése okozta a legnagyobb fennakadást.

Az AISURU evolúciója AIRASHI-vá

Az AIRASHI az AISURU botnetből származik, amelyet korábban 2024 augusztusában azonosítottak a Steam elleni nagy horderejű DDoS támadás során, amely egybeesett a Black Myth: Wukong játék megjelenésével. Miután 2024 szeptemberében ideiglenesen leállította működését, a botnet újra megjelent a "kitty" kódnéven futó frissített funkciókkal, és novemberre AIRASHI néven továbbfejlesztették.

Kettős célú botnet: AIRASHI-DDoS és AIRASHI-proxy

Az AIRASHI két különböző formában működik:

  • AIRASHI-DDoS : 2024. október végén észlelték, ez a változat a DDoS-támadásokra összpontosít, de kiterjeszti képességeit tetszőleges parancsvégrehajtásra és fordított shell-hozzáférésre.
  • AIRASHI-Proxy : A 2024 decemberében bemutatott változat proxy funkciókat ad hozzá, jelezve a szolgáltatások diverzifikációját a DDoS-műveleteken túl.

A kommunikáció és a titkosítás fejlesztése

A biztonságos és hatékony működés érdekében az AIRASHI új hálózati protokollt alkalmaz, amely a HMAC-SHA256 és CHACHA20 titkosítási algoritmusokat használja. Míg az AIRASHI-DDoS 13 különböző üzenettípust támogat, az AIRASHI-Proxy egy egyszerűbb megközelítést használ öttel. Ezenkívül a botnet dinamikusan módosítja módszereit a Command-and-Control (C2) kiszolgáló részleteinek lekéréséhez DNS-lekérdezéseken keresztül.

Botnetek és IoT-eszközök: állandó kiberfenyegetés

Az eredmények rávilágítanak arra, hogy a kiberbűnözők folyamatosan kihasználják az IoT-eszközök sebezhetőségeit. Az IoT-eszközök egyrészt belépési pontként szolgálnak a rossz szereplők számára, másrészt a robusztus botnetek építésének alapjaként szolgálnak. Ezen kompromittált eszközök kihasználásával a fenyegetés szereplői felerősítik a DDoS-támadások erejét, bemutatva a fokozott eszközbiztonság kritikus szükségességét az IoT-ökoszisztémában.

Felkapott

Legnézettebb

Betöltés...