AIRASHI-botnet
Een zero-day-kwetsbaarheid in de cnPilot-routers van Cambium Networks is het nieuwste hulpmiddel geworden voor cybercriminelen die een AISURU-botnetvariant inzetten die bekendstaat als AIRASHI. Deze campagne, actief sinds juni 2024, misbruikt de fout om krachtige Distributed Denial-of-Service (DDoS)-aanvallen te orkestreren. Beveiligingsonderzoekers hebben details over de kwetsbaarheid achtergehouden om misbruik ervan te beperken terwijl het onderzoek nog gaande is.
Inhoudsopgave
Een geschiedenis van uitgebuite kwetsbaarheden
Het AIRASHI-botnet is niet beperkt tot één enkele aanvalsvector. Het wapent een reeks kwetsbaarheden, waaronder CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 en andere gebreken die zijn gevonden in AVTECH IP-camera's, LILIN DVR's en Shenzhen TVT-apparaten. Door dit brede spectrum aan zwakheden te exploiteren, blijft AIRASHI zijn bereik en verfijning vergroten.
DDoS-aanvalsmogelijkheden: een nadere blik
De operators achter AIRASHI zijn niet verlegen over hun activiteiten en plaatsen testresultaten van de DDoS-mogelijkheden van hun botnet op Telegram. Historische gegevens laten zien dat de aanvalscapaciteit stabiliseert rond 1-3 Tbps. Geografisch gezien bevinden de meeste gecompromitteerde apparaten zich in Brazilië, Rusland, Vietnam en Indonesië. Doelwitten zijn echter geconcentreerd in regio's als China, de Verenigde Staten, Polen en Rusland, waar de schadelijke activiteiten van het botnet de meeste verstoring hebben veroorzaakt.
De evolutie van AISURU naar AIRASHI
AIRASHI is afkomstig van het AISURU-botnet, dat eerder in augustus 2024 werd geïdentificeerd tijdens een spraakmakende DDoS-aanval op Steam, die samenviel met de release van de game Black Myth: Wukong. Nadat het in september 2024 tijdelijk was stilgelegd, dook het botnet weer op met bijgewerkte functies met de codenaam "kitty" en werd het in november verder vernieuwd als AIRASHI.
Een botnet met een dubbel doel: AIRASHI-DDoS en AIRASHI-Proxy
AIRASHI opereert in twee verschillende vormen:
- AIRASHI-DDoS : Deze variant werd eind oktober 2024 ontdekt en richt zich op DDoS-aanvallen, maar heeft nu ook mogelijkheden voor willekeurige uitvoering van opdrachten en reverse shell-toegang.
- AIRASHI-Proxy : Deze variant werd in december 2024 onthuld en voegt proxyfunctionaliteit toe, wat duidt op een diversificatie van diensten die verder gaan dan DDoS-operaties.
Communicatie en encryptie verbeteren
Om veilige en efficiënte operaties te garanderen, gebruikt AIRASHI een nieuw netwerkprotocol dat gebruikmaakt van HMAC-SHA256- en CHACHA20-encryptiealgoritmen. Terwijl AIRASHI-DDoS 13 verschillende berichttypen ondersteunt, gebruikt AIRASHI-Proxy een meer gestroomlijnde aanpak met vijf. Bovendien past het botnet zijn methoden dynamisch aan om Command-and-Control (C2)-servergegevens op te halen via DNS-query's.
Botnets en IoT-apparaten: een aanhoudende cyberdreiging
De bevindingen benadrukken de aanhoudende exploitatie door cybercriminelen van kwetsbaarheden in IoT-apparaten. IoT-apparaten dienen zowel als toegangspunt voor kwaadwillenden als als basis voor het bouwen van robuuste botnets. Door deze gecompromitteerde apparaten te benutten, versterken dreigingsactoren de kracht van DDoS-aanvallen, wat de kritieke behoefte aan verbeterde apparaatbeveiliging in het IoT-ecosysteem aantoont.
