Mørk Mirai Botnet

Til tross for at Mirai-botnettet ble lagt ned for mange år siden, fortsetter arven å leve videre. Etter utgivelsen av botnettets kildekode, brukte mange nettkriminelle den som grunnlag for å lage sine egne versjoner av skadelig programvare. En av avleggerne av Mirai som fortsatt er aktiv spores av infosec-fellesskapet som Dark Mirai (aka MANGA). Og ifølge forskerne ved Fortinet som overvåker aktivitetene til dette botnettet, fortsetter operatørene å utstyre det med nye sårbarheter å utnytte.

En av de siste som ble lagt til Dark Mirai påvirker en rekke populære TP-Link hjemmerutere. Mer spesifikt er den berørte modellen TL-WR840N EU V5 utgitt i 2017. Den spesielle sårbarheten - CVE-2021-41653 lar en autentisert bruker utføre kommandoer på enheten på grunn av en sårbar "vert"-variabel. Det skal bemerkes at TP-Link løste problemet med utgivelsen av en fastvareoppdatering 12. november 2021, så Dark Mirai-hackere satser på at brukere ikke oppdaterer enhetene sine og forblir sårbare.

Etter å ha oppdaget en passende enhet, vil angriperne utnytte CVE-2021-41653-sårbarheten for å laste ned og deretter kjøre et skript kalt 'tshit.sh.' Dette skriptet er da ansvarlig for å hente hovednyttelastene via to forespørsler. På grunn av det faktum at angriperne må autentiseres, er brukere som fortsatt bruker standardlegitimasjonen for ruteren de som mest sannsynlig blir kompromittert.

Når den er distribuert, vil Dark Mirai identifisere den infiserte ruterens arkitektur og deretter fortsette å hente en passende nyttelast. Trusselen vil da isolere enheten fra potensiell infiltrasjon fra andre konkurrerende botnett ved å stenge ned flere vanlige målrettede porter. Dark Mirai vil da forbli i dvale og vente på kommandoer fra Command-and-Control-serveren (C&C).