Trojan.SH.MIRAI.BOI
Trojan.SH.MIRAI.BOI is de aanduiding die is toegewezen aan een aangepaste Mirai-botnet-downloader. Sinds de code van het Mirai-botnet in 2016 voor het publiek werd vrijgegeven, hebben cybercriminelen de kans gehad om het gewoon te nemen en hun eigen aanpassingen toe te voegen om beter bij hun agenda te passen. De Trojan.SH.MIRAI.BOI is ontworpen om het Internet of Things (IoT) -apparaten aan te vallen door te scannen op blootgestelde Big-IP-boxen, misbruik te maken van verschillende kwetsbaarheden en een bedreigende lading in te zetten. De kwetsbaarheid waar Trojan.SH.MIRAI.BOI zich voornamelijk op richt, is CVE-2020-5902. In de kern bestaat deze bug uit een kwetsbaarheid voor uitvoering van externe code (RCE) die van invloed kan zijn op de Traffic Management User Interface (TMUI) van Big-IP-apparaten. De exploit is buitengewoon bedreigend, aangezien het de hackers in staat stelt willekeurige opdrachten op het geïnfecteerde apparaat uit te voeren door simpelweg een GET-verzoek met een 'command'-parameter naar' tmshCmd.jsp 'te sturen.
Infosec-onderzoekers hebben twee IP-adressen gedetecteerd als onderdeel van de bedreigingsoperaties. De eerste op txxp: //79.124.8.24/bins/ fungeert als een infiltratievector, terwijl hxxp: //78.142.18.20 de Command-and-Control (C2, C&C) server is. De hostserver bevatte meerdere bestanden met de naam SORA, een andere variant gebaseerd op het Mirai Botnet dat gespecialiseerd was in brute-force-aanvallen, uitbuiting van RCE-kwetsbaarheden en een shell-scriptbestand met de naam 'fetch.sh'. Het shellscript is verantwoordelijk voor het contact opnemen met de C & C-server en het leveren van de juiste payload van de applicaties. Het stelt ook de automatische uitvoering van de beschadigde binaire bestanden in. Bovendien stelt het script via de iptables-tool in dat alle pakketten die naar veelgebruikte TCP-poorten worden gestuurd, zoals die voor Telnet, het apparaatwebpaneel (HTTP) en Secure Shell (SSH), worden verwijderd. Het mogelijke doel is om te voorkomen dat andere malware het reeds gecompromitteerde apparaat infecteert of om de toegang van de gebruikers tot de beheerinterface van het apparaat te blokkeren.
Afgezien van de kwetsbaarheid CVE-2020-5902, misbruikt Trojan.SH.MIRAI.BOI nog negen kwetsbaarheden, waarvan er drie geen CVE-identificatie hadden toen de bedreiging werd gedetecteerd.
