Mirai_ptea Botnet

En ny variant baserad på den ökända Mirai Botnet har upptäckts som en del av aktiva hotande operationer. Det nya hotet heter Mirai_ptea av skadliga forskare och utnyttjar en sårbarhet i KGUARD DVR-enheter. Vissa detaljer om den specifika sårbarheten hålls under omslaget men kort sagt, det gör det möjligt för hotaktörer att få tillgång till rsSystemServer-programmet på KGUARD DVR-firmware och kan sedan lyssna på port 56 *** vid 0.0.0.0 för att utföra godtyckliga systemkommandon på distans , utan att behöva autentisera sig själva. Det bör noteras att just detta utnyttjande fixades i firmwareversioner som släpptes efter 2017. Ändå upptäckte infosec-forskarna cirka 3000 sårbara enheter som kan komprometteras av Mirai_ptea. De flesta av de redan brutna enheterna verkar vara placerade i USA, följt av Korea och Brasilien.

Hotfunktioner

Mirai Botnet fick kändis under 2016, och strax därefter läckte dess källkod ut på hackerforum som effektivt förvandlade hotet till skadlig kod med öppen källkod. Ända sedan skrupelfria cyberbrottslingar har skapat många hot med varierande beroende av den ursprungliga Mirai-koden. När det gäller Mira_ptea visar analys av dess kod och aktiviteter att det på värdbeteende är nästan identiskt med Mirai. De stora skillnaderna finns i hur Mirai_ptea hanterar sin nätverkstrafik. Faktum är att namnet härstammar från två av dem - användningen av en TOR-proxy för kommunikation med Command-and-Control (C2, C&C) -servern och beroende av TEA (Tine Encryption Algorithm) för att maskera känsliga resursdata. Mirai_pteas huvudsakliga hotfunktionalitet är att utföra DDoS-attacker (Distributed Denial-of-Service) och hotet har använts i aktiva attacker mot utvalda mål.