SORA Botnet

O SORA Botnet é uma variante baseada no código do infame Mirai Botnet. Desde que o código-fonte de Mirai foi divulgado em um fórum de hackers em 2016, várias campanhas envolvendo variantes personalizadas do botnet foram detectadas. No caso do SORA, ele foi projetado para abusar de duas vulnerabilidades. Para execução remota de código, ele explora o CVE-2017-17215, enquanto o CVE-2018-10561 dá ao malware a capacidade de gerenciar o dispositivo infectado.

Depois que um dispositivo apropriado é comprometido, um downloader é retirado da infraestrutura de Comando e Controle (C2, C&C) configurada para a campanha. Este malware de primeiro estágio é responsável por entregar e executar a carga útil SORA real no segundo estágio da cadeia de ataque.

O SORA foi implantado junto com outra variante do Mirai Botnet chamada UNSTABLE em uma campanha voltada para os sistemas de armazenamento de vigilância por vídeo Rasilient PixelStor5000. O vetor de entrada específico foi a vulnerabilidade CVE-2020-6756, que permite aos hackers executar comandos RCE por meio do parâmetro 'lang'.

Como os botnets precisam de uma quantidade considerável de dispositivos comprometidos, que eles transformam em bots inerentemente, para realizar suas funções, não é tão surpreendente quando os hackers decidem expandir sua gama inicial de alvos. Quando a massa crítica é atingida, os botnets podem causar grandes interrupções por meio de ataques de negação de serviço distribuída (DDoS). Na verdade, o objetivo da maioria dos criminosos é oferecer seu botnet para alugar a qualquer ator de ameaça em potencial que queira realizar tais ataques.