Uma nova variante da botnet Mirai rastreada como V3G4 tem como alvo 13 vulnerabilidades em servidores baseados em Linux e dispositivos IoT para usar em ataques distribuídos de negação de serviço (DDoS).
O malware se espalha forçando credenciais telnet/SSH fracas ou padrão e explora falhas codificadas para execução remota de código nos dispositivos-alvo. Depois que um dispositivo é violado, o malware o infecta e o “recruta” para seu “exército” de botnets.
O V3G4 foi detectado em três campanhas distintas por pesquisadores da Palo Alto Networks (Unit 42), que relataram monitorar a atividade maliciosa entre julho e dezembro do ano passado.
A Unit 42 acredita que todas as três ondas de ataque se originam do mesmo operador de ameaça porque os domínios de comando e controle (C&C) codificados contêm a mesma string, os downloads de script shell são semelhantes e as botnets usadas em todos os ataques apresentam funções idênticas.
Os ataques do V3G4 começam com a exploração de uma das 13 vulnerabilidades a seguir:
- CVE-2012-4869: execução de comando remoto FreePBX Elastix
- Execução de comando remoto Gitorious
- CVE-2014-9727: FRITZ!Box webcam execução de comando remoto
- Execução de comando remoto Mitel AWC
- CVE-2017-5173: execução de comandos remotos das câmeras IP Geutebruck
- CVE-2019-15107: injeção de comando Webmin
- Execução de comandos arbitrários do Spree Commerce
- Execução de comando remoto da câmera térmica FLIR
- CVE-2020-8515: execução de comando remoto DrayTek Vigor
- CVE-2020-15415: execução de comando remoto DrayTek Vigor
- CVE-2022-36267: execução de comando remoto Airspan AirSpot
- CVE-2022-26134: execução de comando remoto do Atlassian Confluence
- CVE-2022-4257: injeção de comando do C-Data Web Management System
Depois de comprometer o dispositivo-alvo, uma carga baseada no Mirai é descartada no sistema e tenta se conectar ao endereço C&C codificado permanentemente. A botnet também tenta encerrar um conjunto de processos de uma lista codificada, que inclui outras famílias de malware de botnet concorrentes.
Veja isso
Botnet Medusa retorna como variante baseada no Mirai DDoS
Botnet Zerobot adiciona nova funcionalidade para ataques DDoS
Uma característica que diferencia o V3G4 da maioria das variantes do Mirai é que ele usa quatro chaves de criptografia XOR diferentes em vez de apenas uma, tornando a engenharia reversa do código do malware e a decodificação de suas funções mais difíceis.
Ao se espalhar para outros dispositivos, a botnet usa um força bruta telnet/SSH que tenta se conectar usando credenciais padrão ou fracas. A Unit 42 notou que variantes anteriores de malware usavam força bruta telnet/SSH e exploração de vulnerabilidade para disseminação, enquanto amostras posteriores não usavam o scanner.
Por fim, os dispositivos comprometidos recebem comandos DDoS diretamente do servidor C&C, incluindo métodos de inundação TCP, UDP, SYN e HTTP.
O V3G4 provavelmente vende serviços DDoS para clientes que desejam interromper o serviço em sites ou serviços online específicos. No entanto, essa variante não foi vinculada a um serviço específico no momento.
Como sempre, a melhor maneira de proteger seus dispositivos contra infecções do tipo Mirai é alterar a senha padrão e instalar as atualizações de segurança mais recentes.