- Onderzoekers ontdekten dat meerdere kwetsbare eindpunten het doelwit waren van een nieuwe Mirai-variant
- De eindpunten worden opgenomen in een botnet en gebruikt voor DDoS-aanvallen
- De kwetsbaarheden die bij de aanval worden gebruikt, zijn jaren oud
Mirai, een berucht botnet dat zich richt op Internet of Things (IoT)-apparaten om te gebruiken bij Distributed Denial of Service (DDoS)-aanvallen, heeft een nieuwe variant gekregen die zich nu op meerdere kwetsbare apparaten richt, waarschuwen experts.
De malware gaat naar verluidt achter DigiEver DS-2105 Pro NVR’s, meerdere TP-Link-routers met verouderde firmware en Teltonika RUT9XX-routers aan. Voor DigiEver maakt Mirai misbruik van een niet-gepatchte RCE-kwetsbaarheid (Remote Code Execution) die niet eens een trackingnummer heeft.
Voor TP-Link maakt Mirai misbruik van CVE-2023-1389, en voor Teltonika gaat het voor CVE-2018-17532. Het is vermeldenswaard dat de TP-Link-fout een jaar oud is, terwijl de Teltonika-fout ongeveer zes jaar oud is. Dat betekent dat de boeven zich vooral richten op organisaties met slechte cyberbeveiligings- en patchpraktijken.
Mirai is een actieve bedreiging
De campagne begon hoogstwaarschijnlijk in september of oktober 2024 en maakt volgens onderzoekers van Akamai gebruik van XOR- en ChaCha20-codering en richt zich op verschillende systeemarchitecturen, waaronder ARMMIPS en x86.
„Hoewel het gebruik van complexe decoderingsmethoden niet nieuw is, duidt het op evoluerende tactieken, technieken en procedures onder op Mirai gebaseerde botnetoperators“, aldus Akamai.
“Dit is vooral opmerkelijk omdat veel op Mirai gebaseerde botnets nog steeds afhankelijk zijn van de originele string-verduisteringslogica uit gerecyclede code die was opgenomen in de oorspronkelijke release van de Mirai-malwarebroncode.”
Experts van Juniper Research waarschuwden onlangs dat Mirai-operators op zoek waren naar compromisloze Session Smart-routers.
“Op woensdag 11 december 2024 meldden verschillende klanten verdacht gedrag op hun Session Smart Network (SSN)-platforms”, aldus Juniper in zijn beveiligingsadvies.
Onderzoekers meldden onlangs ook dat cybercriminelen misbruik maakten van een fout in de AVM1203, een bewakingscameramodel ontworpen en verkocht door de Taiwanese fabrikant AVTECH, om de eindpunten te kapen en ze te assimileren in het Mirai-botnet.
Via BleepingComputer
