Nieuwe Mirai botnet variant richt zich op SonicWall, D-link, Netgear en IoT devices

Een nieuwe variant van het Mirai botnet is ontdekt voor het misbruiken van verschillende kwetsbaarheden in niet gepatchte SonicWall, D-link en Netgear devices en daarnaast kwetsbaarheden die nog niet eerder gezien zijn in onbekende internet-of-things (IoT) gadgets.

Sinds 16 februari is de nieuwe variant bezig met het misbruiken van 6 bekende kwetsbaarheden en 3 die daarvoor nog niet bekend waren. Het doel hiervan is om de kwetsbare systemen te infecteren en deze toe te voegen aan een botnet.

“De aanvallen zijn op dit moment nog steeds bezig op het moment dat we dit aan het schrijven zijn,” geven onderzoekers van Palo Alto Networks Unit 42 team aan op maandag 15 maart. “Nadat de exploit is gelukt, proberen de aanvallers een kwaadaardig shell script te downloaden, welke nog meer infectie gedrag vertonen zoals het downloaden en uitvoeren van Mirai varianten en brute-forcers.”

Welke kwetsbaarheden worden misbruikt?

De nieuwe Mirai variant maakt gebruik van de volgende kwetsbaarheden:

  • VisualDoor – een SonicWall SSL-VPN remote command injection kwetsbaarheid, welke begin januari 2021 bekend was geworden;
  • CVE-2020-25506 – een remote code execution (RCE) kwetsbaarheid voor D-Link DNS-320 firewalls;
  • CVE-2021-27561 and CVE-2021-27562 – twee kwetsbaarheden in Yealink Device Management die het mogelijk maken voor ongeauthenticeerde aanvallers om willekeurige code uit te voeren om de server met root privileges;
  • CVE-2021-22502 – een RCE kwetsbaarheid in versie 10.40 van Micro Focus Operation Bridge Reporter (OBR);
  • CVE-2019-19356 – een RCE exploit in Netis WF2419 wireless routers;
  • CVE-2020-26919 – een RCE kwetsbaarheid in Netgear ProSAFE Plus.

Daarbij zijn er ook nog 3 nog niet eerder vermelde command injection kwetsbaarheden die zijn gebruikt tegen onbekende doelwitten, waarvan er 1 door de onderzoekers is gezien samen met MooBot. De onderzoekers geloven dat deze kwetsbaarheden zich bevinden in IoT devices.

“We kunnen niet met zekerheid zeggen op welke devices deze niet geïdentificeerde exploits zich richten,” zegt Zhibin Zhang, hoofdonderzoeker voor Unit 42, tegen Threatpost. “Daarentegen, op basis van de andere bekende exploits en ook kijkend naar de exploits die historisch gezien gebruikt zijn met Mirai, is het zeer waarschijnlijk dat deze zich richten op IoT devices.”

Wat gebeurt er wanneer de exploit is gelukt?

Nadat de exploit is gelukt, maakt de malware gebruik van de wget utility om een shell script te downloaden van de infrastructuur van de malware. Dit shell script downloadt verschillende Mirai binaries en voert ze één-voor-één uit.

Een van deze binaries bevat lolol.sh, welke meerde functies heeft. Belangrijke folders worden van de machine verwijderd. Hieronder vallen bestaande scheduled jobs en startup scripts. Ook wordt er packet filter regels aangemaakt die inkomende verkeer blokkeren richting de normaal gebruikte SSH, HTTP en Telnet poorten (om het moeilijker te maken voor beheerders op afstand). Ook wordt er een scheduled job aangemaakt om het lolol.sh script ieder uur te draaien voor persistentie, maar dit laatste werkt niet goed gezien de cron configuratie fout is volgens de onderzoekers.

Een andere binary install.sh downloadt verschillende bestanden en pakketten, waaronder GoLang v1.9.4, de nbrute binaries (die worden gebruikt voor het brute forcen van verschillende credentials) en een combo.txt bestand, welke veel verschillende credential combinaties bevat en gebruikt kan worden door nbrute.

De laatste binary heeft de naam dark.arch en is gebaseerd op Mirai code. Deze wordt voornamelijk gebruikt voor verspreiding. Dit kan door middel van de eerder genoemde exploits of via het brute forcen van SSH connecties door gebruik te maken van hard gecodeerde credentials in de binary.

Advies

Het advies aan iedereen die gebruik maakt van de devices, waarvoor de bekende kwetsbaarheden zijn, om deze te patchen, wanneer dit nog niet gedaan is.

Ook toont dit aan hoe belangrijk het is om kwetsbaarheden wanneer deze bekend worden op tijd te patchen, voor ze actief misbruikt worden in dit geval om ze onderdeel te maken van een botnet.

Daarnaast is het ook belangrijk om gebruik te maken van two-factor authenticatie, gezien er wordt geprobeerd met brute forcen van verschillende credential combinaties om binnen te komen bij systemen die via het internet benaderbaar zijn bijvoorbeeld via SSH of RDP.

Source1

Source2

Een tikkende tijdbom
Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Gerelateerde berichten

VMware

Kritieke Cloud kwetsbaarheid in VMWare Carbon Black

Apple brengt urgente patch uit voor actief aangevallen zero-day kwetsbaarheid

f5 kwetsbaarheid

Kritieke F5 BIG-IP kwetsbaarheid na PoC actief aangevallen

Een tikkende tijdbom

4 actief aangevallen zero-day kwetsbaarheden in Exchange gepatcht door Microsoft

VMware

Kritieke RCE kwetsbaarheden voor VMware ESXi en vSphere Client

Microsoft

Microsoft trekt defecte servicing stack update in na problemen voor gebruikers

Ransomware

De huidige Ransomware en Phishing aanvallen Trends

phishing

UPDATE: Agent Tesla Malware gespot met nieuwe bezorg- en ontwijktechnieken

Android malware

Nieuwe wormachtige Android malware verspreid zich via WhatsApp

dnsspooq

DNSpooq een verzameling van verschillende kwetsbaarheden voor DNSMasq DNS Forwarder

malware

Kwaadaardige software infrastructuur eenvoudiger te verkrijgen en uit te rollen dan ooit

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

twaalf − 9 =

Menu