Новият вариант на ботнета Mirai, проследен като „V3G4“, е насочен към 13 уязвимости в сървъри и устройства, базирани на Linux, които се използват за DDoS (разпределени атаки за отказ на услуга).

Зловредният софтуер се разпространява чрез грубо насилване на слаби или стандартни telnet/SSH пълномощия и използване на твърдо кодирани недостатъци, за да се извърши отдалечено изпълнение на код на целевите устройства. След като бъде пробито устройство, зловредният софтуер го заразява  и го привлича в своя ботнет рояк.

Конкретният зловреден софтуер е забелязан в три отделни кампании от изследователи в Palo Alto Networks (Unit 42), които съобщават за наблюдение на злонамерената дейност между юли 2022 г. и декември 2022 г.

Unit 42 смята, че и трите вълни от атаки произлизат от един и същ извършител, тъй като твърдо кодираните C2 домейни съдържат един и същ низ, изтеглянията на скриптове са сходни, а клиентите на ботнета, използвани при всички атаки, имат идентични функции.

Атаките V3G4 започват с използването на една от следните 13 уязвимости:

• CVE-2012-4869: FreePBX Elastix: отдалечено изпълнение на команди
• Gitorious: отдалечено изпълнение на команди
• CVE-2014-9727: FRITZ!Box Webcam дистанционно изпълнение на команда
• Отдалечено изпълнение на команда на Mitel AWC
• CVE-2017-5173: отдалечено изпълнение на команди за IP камери Geutebruck
• CVE-2019-15107: Вкарване на команда в Webmin
• Изпълнение на произволна команда в Spree Commerce
• Дистанционно изпълнение на команда за термокамера FLIR
• CVE-2020-8515: Дистанционно изпълнение на команда на DrayTek Vigor
• CVE-2020-15415: DrayTek Vigor дистанционно изпълнение на команда
• CVE-2022-36267: отдалечено изпълнение на команда на Airspan AirSpot
• CVE-2022-26134: Atlassian Confluence – отдалечено изпълнение на команда
• CVE-2022-4257: C-Data Web Management System command injection

След като компрометира целевото устройство, в системата се пуска полезен товар, базиран на Mirai, който се опитва да се свърже с твърдо кодирания C2 адрес.

Ботнетът също така се опитва да прекрати набор от процеси от твърдо кодиран списък, който включва други конкурентни семейства зловреден софтуер за ботнети.

Характеристиката, която отличава V3G4 от повечето варианти на Mirai, е, че той използва четири различни ключа за криптиране XOR вместо само един, което прави обратното инженерство на кода на зловредния софтуер и декодирането на функциите му по-трудно.

При разпространението си до други устройства ботнетът използва telnet/SSH brute-forcer, който се опитва да се свърже, използвайки данни по подразбиране или слаби пълномощия.Unit 42 забеляза, че по-ранните варианти на зловредния софтуер са използвали както telnet/SSH brute-forcing, така и експлоатиране на уязвимости за разпространение, докато по-късните образци не са използвали скенера.

И накрая, на компрометираните устройства се издават DDoS команди директно от C2, включително методи за наводняване по TCP, UDP, SYN и HTTP.

V3G4 вероятно продава DDoS услуги на клиенти, които искат да предизвикат прекъсване на услугите на конкретни уебсайтове или онлайн услуги.

Засега обаче този вариант не е свързан с конкретна услуга.

Както винаги, най-добрият начин да защитите устройствата си от инфекции, подобни на Mirai, е да смените паролата по подразбиране и да инсталирате най-новите актуализации за сигурност.

Източник: Palo Alto Networks,Unit 42