Threat Database Botnets Dark Mirai Botnet

Dark Mirai Botnet

Trots att Mirai-botnätet stängdes för flera år sedan, fortsätter dess arv att leva vidare. Efter lanseringen av botnätets källkod använde många cyberkriminella den som grund för att skapa sina egna versioner av skadlig programvara. En av utlöpare av Mirai som fortfarande är aktiv spåras av infosec-communityt som Dark Mirai (alias MANGA). Och enligt forskarna på Fortinet som övervakar detta botnäts aktiviteter, fortsätter dess operatörer att utrusta det med nya sårbarheter att utnyttja.

En av de senaste som har lagts till i Dark Mirai påverkar en rad populära TP-Link-hemroutrar. Mer specifikt är den berörda modellen TL-WR840N EU V5 som släpptes 2017. Den speciella sårbarheten - CVE-2021-41653 tillåter en autentiserad användare att utföra kommandon på enheten på grund av en sårbar "värd"-variabel. Det bör noteras att TP-Link åtgärdade problemet med släppet av en firmwareuppdatering den 12 november 2021, så Dark Mirai-hackarna satsar på att användare inte uppdaterar sina enheter och förblir sårbara.

När angriparna har upptäckt en lämplig enhet kommer angriparna att utnyttja sårbarheten CVE-2021-41653 för att ladda ner och sedan köra ett skript som heter 'tshit.sh'. Detta skript är sedan ansvarigt för att hämta de viktigaste nyttolasterna via två förfrågningar. På grund av det faktum att angriparna måste autentiseras, är användare som fortfarande använder standardinloggningsuppgifterna för sin router de som är mest benägna att äventyras.

När den distribueras kommer Dark Mirai att identifiera den infekterade routerns arkitektur och sedan fortsätta att hämta en lämplig nyttolast. Hotet kommer sedan att isolera enheten från potentiell infiltration från andra konkurrerande botnät genom att stänga av flera vanliga riktade portar. The Dark Mirai kommer sedan att förbli vilande och väntar på kommandon från sin Command-and-Control-server (C&C).

Trendigt

Mest sedda

Läser in...