Dark Mirai Botnet

Mirai botnet'in yıllar önce kapatılmasına rağmen mirası yaşamaya devam ediyor. Botnet'in kaynak kodunun yayınlanmasından sonra, birçok siber suçlu, kötü amaçlı yazılımın kendi sürümlerini oluşturmak için bunu temel olarak kullandı. Ait offshoots biri Mirai hala aktif Koyu Mirai (aka MANGA) olarak INFOSEC topluluğu tarafından izlenir. Ve bu botnet'in faaliyetlerini izleyen Fortinet'teki araştırmacılara göre, operatörleri onu istismar etmek için yeni güvenlik açıklarıyla donatmaya devam ediyor.

Dark Mirai'ye eklenen en yenilerden biri, bir dizi popüler TP-Link ev yönlendiricisini etkiliyor. Daha spesifik olarak, etkilenen model 2017'de piyasaya sürülen TL-WR840N EU V5'tir. Özel güvenlik açığı - CVE-2021-41653, kimliği doğrulanmış bir kullanıcının güvenlik açığı bulunan bir "ana bilgisayar" değişkeni nedeniyle cihazda komut yürütmesine olanak tanır. TP-Link'in 12 Kasım 2021'de bir ürün yazılımı güncellemesinin yayınlanmasıyla sorunu çözdüğü belirtilmelidir, bu nedenle Dark Mirai bilgisayar korsanları, kullanıcıların cihazlarını güncellememesi ve savunmasız kalması konusunda bankacılık yapmaktadır.

Uygun bir cihaz keşfettikten sonra, saldırganlar 'tshit.sh' adlı bir komut dosyasını indirip yürütmek için CVE-2021-41653 güvenlik açığından yararlanacak. Bu komut dosyası daha sonra iki istek yoluyla ana yükleri getirmekten sorumludur. Saldırganların kimliğinin doğrulanması gerektiği gerçeğinden dolayı, yönlendiricileri için varsayılan kimlik bilgilerini kullanan kullanıcılar, güvenliği ihlal edilme olasılığı en yüksek olanlardır.

Dağıtıldığında, Dark Mirai, virüslü yönlendiricinin mimarisini belirleyecek ve ardından uygun bir yükü almaya devam edecektir. Tehdit daha sonra, yaygın olarak hedeflenen birkaç bağlantı noktasını kapatarak, cihazı diğer rakip botnetlerden gelebilecek olası sızmalardan izole edecektir. Dark Mirai daha sonra, Komuta ve Kontrol (C&C) sunucusundan gelen komutları bekleyerek uykuda kalacaktır.