UNSTABLE Botnet

Het UNSTABLE Botnet is nog een andere botnetvariant die voortkomt uit de gelekte broncode van het beruchte Mirai Botnet. Het dumpen van de broncode van Mirai op een hackerforum in 2016 heeft een hele reeks cybercriminelen - van beginners tot ervaren ontwikkelaars - in staat gesteld om de code te gebruiken en aan te passen aan hun behoeften.

UNSTABLE werd ingezet naast een andere Mirai Botnet- variant genaamd SORA in een campagne gericht op Rasilient PixelStor5000-opslagsystemen voor videobewaking. De dreiging maakte misbruik van de kwetsbaarheid CVE-2020-6756 waardoor de hackers opdrachten voor het uitvoeren van externe code konden uitvoeren via de parameter 'lang'.

Omdat zowel SORA als UNSTABLE op dezelfde broncode zijn gebaseerd, delen de twee bedreigingen behoorlijk wat overeenkomsten. UNSTABLE lijkt echter wat geavanceerder omdat het is uitgerust met de functionaliteit om de ThinkPHP-kwetsbaarheid te misbruiken naast de twee misbruiken die door SORA worden misbruikt - CVE-2017-17215 en CVE-2018-10561. De kwetsbaarheden ThinkPHP en CVE-2017-17215 maken RCE-opdrachten mogelijk, terwijl CVE-2018-10561 de hackers toegang geeft tot het beheer van het gecompromitteerde apparaat.

Als het gaat om de inzet van botnets, hebben ze allemaal hetzelfde doel: zoveel mogelijk apparaten infecteren en integreren. Met het grotere aantal 'bots' wordt de functionaliteit van het botnet veel krachtiger. De hackers kunnen dan een servicetoeslag betalen, ze kunnen een Distributed Denial of Service (DDoS) -aanval initiëren, zoals aangegeven door de specificaties van hun klant.