Dark Mirai Botnet

Ondanks dat het Mirai-botnet jaren geleden werd stopgezet, blijft zijn erfenis voortleven. Na de release van de broncode van het botnet, gebruikten veel cybercriminelen deze als basis om hun eigen versies van de malware te maken. Een van de uitlopers van Mirai die nog steeds actief is, wordt door de infosec-gemeenschap gevolgd als de Dark Mirai (ook bekend als MANGA). En volgens de onderzoekers van Fortinet die de activiteiten van dit botnet volgen, blijven de operators het uitrusten met nieuwe kwetsbaarheden om te misbruiken.

Een van de nieuwste die aan de Dark Mirai is toegevoegd, heeft invloed op een reeks populaire TP-Link-thuisrouters. Meer specifiek is het getroffen model TL-WR840N EU V5, uitgebracht in 2017. De specifieke kwetsbaarheid - CVE-2021-41653 stelt een geverifieerde gebruiker in staat om opdrachten op het apparaat uit te voeren vanwege een kwetsbare 'host'-variabele. Opgemerkt moet worden dat TP-Link het probleem heeft aangepakt met de release van een firmware-update op 12 november 2021, dus de Dark Mirai-hackers rekenen erop dat gebruikers hun apparaten niet updaten en kwetsbaar blijven.

Na het ontdekken van een geschikt apparaat, misbruiken de aanvallers de kwetsbaarheid CVE-2021-41653 om een script met de naam 'tshit.sh' te downloaden en vervolgens uit te voeren. Dit script is dan verantwoordelijk voor het ophalen van de belangrijkste payloads via twee verzoeken. Omdat de aanvallers moeten worden geverifieerd, is de kans het grootst dat gebruikers die nog steeds de standaardreferenties voor hun router gebruiken, worden gehackt.

Na implementatie identificeert de Dark Mirai de architectuur van de geïnfecteerde router en gaat vervolgens verder met het ophalen van een geschikte payload. De dreiging zal het apparaat vervolgens isoleren van mogelijke infiltratie van andere concurrerende botnets door verschillende veelvoorkomende poorten af te sluiten. De Dark Mirai blijft dan slapend, wachtend op commando's van zijn Command-and-Control (C&C)-server.