Mirai_ptea Botnet

Een nieuwe variant op basis van het beruchte Mirai Botnet is gedetecteerd als onderdeel van actieve bedreigende operaties. De nieuwe bedreiging, door malwareonderzoekers Mirai_ptea genoemd, maakt gebruik van een kwetsbaarheid in KGUARD DVR-apparaten. Bepaalde details over de specifieke kwetsbaarheid worden geheim gehouden, maar kortom, het geeft de bedreigingsactoren toegang tot het rsSystemServer-programma op de KGUARD DVR-firmware en kunnen vervolgens luisteren op poort 56*** op 0.0.0.0 om willekeurige systeemopdrachten op afstand uit te voeren , zonder dat ze zichzelf hoeven te authenticeren. Opgemerkt moet worden dat deze specifieke exploit is opgelost in firmwareversies die na 2017 zijn uitgebracht. Toch ontdekten de infosec-onderzoekers ongeveer 3.000 kwetsbare apparaten die door Mirai_ptea kunnen worden gecompromitteerd. De meeste van de reeds gehackte apparaten lijken zich in de Verenigde Staten te bevinden, gevolgd door Korea en Brazilië.

Dreigende mogelijkheden

Het Mirai Botnet kreeg in 2016 bekendheid en kort daarna werd de broncode gelekt op hackerforums en veranderde de dreiging in open-source malware. Sindsdien creëren gewetenloze cybercriminelen talloze bedreigingen, waarbij ze op verschillende manieren vertrouwen op de originele Mirai-code. Wat Mira_ptea betreft, blijkt uit analyse van de code en activiteiten dat het op het gedragsniveau van de host bijna identiek is aan Mirai. De grote verschillen zitten in de manier waarop Mirai_ptea met zijn netwerkverkeer omgaat. De naam is zelfs afgeleid van twee ervan: het gebruik van een TOR-proxy voor communicatie met de Command-and-Control (C2, C&C)-server en het vertrouwen op TEA (Tine Encryption Algorithm) om gevoelige brongegevens te maskeren. De belangrijkste bedreigende functionaliteit van Mirai_ptea is het uitvoeren van DDoS-aanvallen (Distributed Denial-of-Service) en de dreiging is gebruikt in actieve aanvallen op geselecteerde doelen.