Nowy wariant złośliwego oprogramowania Mirai infekuje urządzenia z systemem Linux w celu zbudowania botnetu DDoS

Nowy wariant botnetu Mirai, oznaczony jako „V3G4”, wykorzystuje 13 luk w serwerach opartych na systemie Linux oraz urządzeniach IoT w celu wykorzystania ich w atakach DDoS (distributed denial of service).

Złośliwe oprogramowanie rozprzestrzenia się poprzez wyłudzanie słabych lub domyślnych poświadczeń telnet/SSH i wykorzystywanie błędów w zabezpieczeniach do zdalnego wykonywania kodu na urządzeniach docelowych. Gdy urządzenie zostanie złamane, złośliwe oprogramowanie infekuje je i dołącza do swojego roju botnetów.

To konkretne złośliwe oprogramowanie zostało zauważone w trzech różnych kampaniach przez badaczy z Palo Alto Networks (Unit 42), którzy zgłosili monitorowanie złośliwej aktywności między lipcem 2022 r. a grudniem 2022 r. Badacze z Unit 42 uważają, że wszystkie trzy fale ataków pochodzą od tego samego aktora zagrożeń, ponieważ hardkodowane domeny C2 zawierają ten sam ciąg znaków, pobierane skrypty powłoki są podobne, a klienci botnetu wykorzystywani we wszystkich atakach posiadają identyczne funkcje.

Po przejęciu kontroli nad urządzeniem docelowym, na system zrzucany jest ładunek oparty na Mirai, który próbuje połączyć się z podanym adresem C2. Botnet próbuje również zakończyć zestaw procesów z zakodowanej listy, która zawiera inne konkurencyjne rodziny złośliwego oprogramowania botnetowego.

Cechą odróżniającą V3G4 od większości wariantów Mirai jest to, że wykorzystuje on cztery różne klucze szyfrowania XOR zamiast tylko jednego, co sprawia, że inżynieria wsteczna kodu złośliwego oprogramowania i dekodowanie jego funkcji stanowi większe wyzwanie. Podczas rozprzestrzeniania się na inne urządzenia botnet wykorzystuje telnet/SSH brute-forcer, który próbuje połączyć się przy użyciu domyślnych lub słabych danych uwierzytelniających. Unit 42 zauważyła, że wcześniejsze warianty złośliwego oprogramowania wykorzystywały do rozprzestrzeniania się zarówno telnet/SSH brute-forcing, jak i wykorzystywanie luk, natomiast późniejsze próbki nie korzystały ze skanera.

Wreszcie, skompromitowane urządzenia otrzymują polecenia DDoS bezpośrednio z C2, w tym metody zalewania TCP, UDP, SYN i HTTP.

V3G4 prawdopodobnie sprzedaje usługi DDoS klientom, którzy chcą spowodować zakłócenia w działaniu konkretnych stron internetowych lub usług online.