Botnet SORA

La botnet SORA è una variante basata sul codice della famigerata botnet Mirai. Da quando il codice sorgente di Mirai è stato reso pubblico su un forum di hacker nel 2016, sono state rilevate diverse campagne che coinvolgono varianti personalizzate della botnet. Nel caso di SORA, è stato progettato per abusare di due vulnerabilità. Per l'esecuzione di codice in modalità remota, sfrutta CVE-2017-17215, mentre CVE-2018-10561 offre al malware la possibilità di gestire il dispositivo infetto.

Una volta che un dispositivo appropriato viene compromesso, un downloader viene rilasciato dall'infrastruttura Command-and-Control (C2, C&C) configurata per la campagna. Questo malware di prima fase è responsabile della consegna e dell'esecuzione del payload SORA effettivo nella seconda fase della catena di attacco.

SORA è stato implementato insieme a un'altra variante di Mirai Botnet chiamata UNSTABLE in una campagna mirata ai sistemi di archiviazione di videosorveglianza Rasilient PixelStor5000. Il vettore di ingresso specifico era la vulnerabilità CVE-2020-6756, che consente agli hacker di eseguire comandi RCE tramite il parametro "lang".

Poiché le botnet necessitano di una quantità considerevole di dispositivi compromessi, che trasformano intrinsecamente in bot, per svolgere le loro funzioni, non sorprende che gli hacker decidano di espandere la loro gamma iniziale di obiettivi. Quando viene raggiunta la massa critica, le botnet possono causare enormi interruzioni attraverso attacchi DDoS (Distributed Denial of Service). In effetti, l'obiettivo della maggior parte dei criminali è quello di offrire la propria botnet a noleggio a qualsiasi potenziale attore di minacce che desideri eseguire tali attacchi.