SORA-botnet

Het SORA Botnet is een variant gebaseerd op de code van het beruchte Mirai Botnet. Sinds Mirai's broncode in 2016 openbaar werd gemaakt op een hackerforum, zijn er verschillende campagnes met op maat gemaakte varianten van het botnet gedetecteerd. In het geval van SORA was het bedoeld om misbruik te maken van twee kwetsbaarheden. Voor het uitvoeren van externe code maakt het gebruik van CVE-2017-17215, terwijl CVE-2018-10561 de malware de mogelijkheid geeft om het geïnfecteerde apparaat te beheren.

Zodra een geschikt apparaat is gecompromitteerd, wordt een downloader verwijderd uit de Command-and-Control-infrastructuur (C2, C&C) die voor de campagne is opgezet. Deze malware in de eerste fase is verantwoordelijk voor het leveren en uitvoeren van de daadwerkelijke SORA-payload in de tweede fase van de aanvalsketen.

SORA werd ingezet naast een andere Mirai Botnet- variant genaamd UNSTABLE in een campagne gericht op Rasilient PixelStor5000-opslagsystemen voor videobewaking. De specifieke ingangsvector was de CVE-2020-6756-kwetsbaarheid, waardoor de hackers RCE-commando's kunnen uitvoeren via de parameter 'lang'.

Aangezien botnets een aanzienlijk aantal gecompromitteerde apparaten nodig hebben, die ze inherent in bots veranderen, om hun functies uit te voeren, is het niet zo verwonderlijk wanneer de hackers besluiten hun aanvankelijke reeks doelen uit te breiden. Wanneer een kritische massa is bereikt, kunnen botnets enorme verstoringen veroorzaken door middel van Distributed Denial of Service (DDoS) -aanvallen. Het doel van de meeste criminelen is immers om hun botnet te huur aan te bieden aan elke potentiële bedreigingsacteur die dergelijke aanvallen wil uitvoeren.