Unleashed Chaos: Condi Malware tar kontroll över TP-Link Wi-Fi-routrar för förödande DDoS Botnet-angrepp

En nyupptäckt skadlig programvara, Condi, har dykt upp som ett betydande hot och utnyttjar en säkerhetsrisk i TP-Link Archer AX21 (AX1800) Wi-Fi-routrar. Dess primära mål är att utnyttja dessa komprometterade enheter och sätta ihop dem till ett kraftfullt DDoS-botnät (Distributed Denial-of-Service). Forskare har noterat en kraftig ökning av kampanjens intensitet sedan slutet av maj 2023.

Vem ligger bakom Condi?

Hjärnan bakom Condi är en person känd av onlinenamnet zxcr9999 , som aktivt marknadsför sina olagliga aktiviteter genom Telegram-kanalen Condi Network. Från och med maj 2022 har hotaktören tjänat pengar på sitt botnät genom att erbjuda DDoS-som-en-tjänst och till och med sälja skadlig programvaras källkod. Säkerhetsforskare har noggrant analyserat skadlig programvara och avslöjat dess förmåga att eliminera konkurrerande botnät på samma värd. Condi saknar dock en uthållighetsmekanism, vilket gör att den inte kan överleva en omstart av systemet.

För att övervinna begränsningen av uthållighet efter en omstart av systemet, vidtar Condi åtgärder genom att ta bort flera binärer som ansvarar för att stänga av eller starta om systemet. Dessa binärer inkluderar /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt och /usr/bin/halt. Det är värt att notera att Mirai-botnätet tidigare utnyttjade den riktade sårbarheten.

I motsats till annan utbredd skadlig programvara använder Condi en skannermodul för att identifiera TP-Link Archer AX21-routrar som är sårbara för CVE-2023-1389 (CVSS-poäng: 8,8). Istället för att använda brute-force-attacker som vissa botnät, kör Condi ett skalskript som erhållits från en fjärrserver för att deponera skadlig programvara på de identifierade enheterna.

Enligt säkerhetsanalytiker har flera instanser av Condi kommit upp, som utnyttjar olika kända säkerhetsbrister för att spridas. Det indikerar att enheter som kör oparpad programvara är särskilt mottagliga för att bli föremål för denna botnet-skadlig programvara. Bortsett från dess aggressiva monetariseringstaktik är Condis primära mål att kompromissa med enheter och etablera ett formidabelt DDoS-botnät. Detta botnät kan sedan hyras ut till andra hotaktörer, vilket gör det möjligt för dem att starta TCP- och UDP-översvämningsattacker på riktade webbplatser och tjänster.

Neutralisering av botnät är avgörande för att upprätthålla ett säkert och stabilt digitalt ekosystem. Botnät, som Condi malware, kan utnyttja sårbarheter i oparpad programvara och utnyttja ett nätverk av komprometterade enheter för skadliga aktiviteter, såsom DDoS-attacker. Dessa attacker stör onlinetjänster och hotar avsevärt integriteten och tillgängligheten för kritisk infrastruktur. Individer, organisationer och säkerhetspersonal måste vara vaksamma, hålla programvaran uppdaterad och använda robusta säkerhetsåtgärder för att upptäcka och mildra botnätshot. Genom att aktivt neutralisera botnät kan vi skydda våra digitala miljöer och bidra till ett säkrare onlinelandskap för alla användare.