AIRASHI Botnet
En nolldagarssårbarhet i Cambium Networks cnPilot-routrar har blivit det senaste verktyget för cyberkriminella som distribuerar en AISURU-botnätvariant som kallas AIRASHI. Denna kampanj, aktiv sedan juni 2024, utnyttjar bristen för att orkestrera kraftfulla DDoS-attacker (Distributed Denial-of-Service). Säkerhetsforskare har undanhållit detaljer om sårbarheten för att begränsa dess missbruk medan utredningar pågår.
Innehållsförteckning
En historia av utnyttjade sårbarheter
AIRASHI-botnätet är inte begränsat till en enda attackvektor. Den beväpnar en serie sårbarheter, inklusive CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-85202, CVE-2020-85202, CVE-3-3515 CVE-2022-40005, CVE-2022-44149, CVE-2023-287 och andra brister som finns i AVTECH IP-kameror, LILIN DVR och Shenzhen TVT-enheter. Genom att utnyttja detta breda spektrum av svagheter fortsätter AIRASHI att öka sin räckvidd och sofistikering.
DDoS Attack Capabilities: En närmare titt
Operatörerna bakom AIRASHI är inte blyga för sina aktiviteter och publicerar testresultat av deras botnäts DDoS-funktioner på Telegram. Historiska data visar att dess attackkapacitet stabiliserar sig runt 1-3 Tbps. Geografiskt sett finns de flesta komprometterade enheter i Brasilien, Ryssland, Vietnam och Indonesien. Målen är dock koncentrerade till regioner som Kina, USA, Polen och Ryssland, där botnätets skadliga verksamhet har orsakat mest störningar.
Utvecklingen av AISURU till AIRASHI
AIRASHI härstammar från AISURU-botnätet, som tidigare identifierades i augusti 2024 under en högprofilerad DDoS-attack på Steam, som sammanföll med lanseringen av spelet Black Myth: Wukong. Efter att tillfälligt stoppa sin verksamhet i september 2024, återuppstod botnätet med uppdaterade funktioner med kodnamnet "kitty" och förnyades ytterligare som AIRASHI i november.
Ett botnät med dubbla ändamål: AIRASHI-DDoS och AIRASHI-Proxy
AIRASHI verkar i två distinkta former:
- AIRASHI-DDoS : Upptäcktes i slutet av oktober 2024, den här varianten fokuserar på DDoS-attacker men utökar sina möjligheter till att inkludera godtycklig kommandoexekvering och omvänd skalåtkomst.
- AIRASHI-Proxy : Denna variant presenterades i december 2024 och lägger till proxyfunktioner, vilket signalerar en diversifiering av tjänster utöver DDoS-drift.
Avancerad kommunikation och kryptering
För att säkerställa säker och effektiv drift använder AIRASHI ett nytt nätverksprotokoll som utnyttjar HMAC-SHA256 och CHACHA20 krypteringsalgoritmer. Medan AIRASHI-DDoS stöder 13 olika meddelandetyper, använder AIRASHI-Proxy ett mer strömlinjeformat tillvägagångssätt med fem. Dessutom justerar botnätet dynamiskt sina metoder för att hämta Command-and-Control (C2) serverdetaljer via DNS-frågor.
Botnät och IoT-enheter: ett ihållande cyberhot
Resultaten belyser cyberbrottslingars ihållande utnyttjande av IoT-enheters sårbarheter. IoT-enheter fungerar både som en ingångspunkt för dåliga aktörer och grunden för att bygga robusta botnät. Genom att utnyttja dessa komprometterade enheter förstärker hotaktörer kraften i DDoS-attacker, vilket visar det kritiska behovet av förbättrad enhetssäkerhet i IoT-ekosystemet.
