استفاده بات نت مبتنی بر Mirai از باگ های روز صفر در روترها و NVR برای حملات DDoS عظیم

یک کمپین بدافزار فعال از دو آسیب‌پذیری روز صفر با عملکرد اجرای کد از راه دور (RCE) برای روترها و ضبط‌کننده‌های ویدئویی در یک بات‌نت انکار سرویس توزیع‌شده مبتنی بر Mirai (DDoS) استفاده می‌کند.

Akamai در توصیه‌ای که این هفته منتشر شد، گفت[۱]: «payload روترها و دستگاه‌های ضبط‌کننده ویدیوی شبکه (NVR) با گواهی مدیریت پیش‌فرض را هدف قرار می‌دهد و در صورت موفقیت، انواع Mirai را نصب می‌کند.»

جزئیات این نقص‌ها در حال حاضر تحت پوشش قرار دارد تا به دو فروشنده اجازه داده شود تا وصله‌ها را منتشر کنند و دیگر عوامل تهدید از سوء استفاده از آنها جلوگیری کنند. انتظار می رود رفع یکی از آسیب پذیری ها در ماه آینده منتشر شود.

این حملات اولین بار توسط شرکت زیرساخت وب و امنیت علیه هانی پات های آن در اواخر اکتبر ۲۰۲۳ کشف شد. عاملان این حملات هنوز شناسایی نشده اند.

این بات‌نت که به دلیل استفاده از زبان نژادی و توهین‌آمیز در سرورهای فرمان و کنترل (C2) و رشته‌های سخت‌کد شده با نام رمز InfectedSlurs شناخته می‌شود، یک نوع بدافزار JenX Mirai است[۲] که در ژانویه ۲۰۱۸ منتشر شد.

Akamai گفت همچنین نمونه‌های بدافزار دیگری را شناسایی کرده است که به نظر می‌رسد با نوع hailBot Mirai مرتبط هستند[۳]، که بر اساس تحلیل اخیر NSFOCUS، نوع دوم در سپتامبر ۲۰۲۳ ظاهر شد.

این شرکت امنیت سایبری مستقر در پکن با بیان جزئیات توانایی آن در انتشار از طریق بهره برداری از آسیب پذیری ها و رمزهای عبور ضعیف، خاطرنشان کرد[۴]: hailBot بر اساس کد منبع Mirai توسعه یافته است و نام آن از اطلاعات رشته ای ‘hail china mainland’ خروجی پس از اجرا گرفته شده است.

این توسعه زمانی انجام می‌شود که Akamai یک پوسته وب به نام [۵]wso-ng را شرح داده[۶] که نوعی تکرار پیشرفته WSO (مخفف “Web Shell by oRb”) است که با ابزارهای قانونی مانند VirusTotal و SecurityTrails ادغام می‌شود، در حالی که به محض تلاش برای دسترسی به آن، رابط ورود خود را مخفیانه در پشت صفحه خطای ۴۰۴ پنهان می کند[۷].

یکی از قابلیت‌های شناسایی قابل‌توجه پوسته وب شامل بازیابی ابرداده‌های AWS برای حرکت جانبی بعدی و همچنین جستجوی اتصالات بالقوه پایگاه داده Redis به منظور دسترسی غیرمجاز به داده‌های حساس برنامه است.

مایکروسافت در سال ۲۰۲۱ گفت[۸]: “پوسته‌های وب به مهاجمان اجازه می‌دهند تا دستوراتی را روی سرورها اجرا کنند تا داده‌ها را سرقت کنند یا از سرور به‌عنوان سکوی راه‌اندازی برای فعالیت‌های دیگری مانند سرقت اعتبار، جابجایی جانبی، استقرار payloadهای اضافی یا فعالیت‌های hands-on-keyboard استفاده کنند، در حالی که به مهاجمان اجازه می دهد در یک سازمان آسیب دیده باقی بمانند.”

استفاده از پوسته‌های وب off-the-shelf نیز به عنوان تلاشی از سوی عوامل تهدید برای به چالش کشیدن تلاش‌های انتساب و پرواز در زیر رادار، یکی از مشخصه‌های اصلی گروه‌های جاسوسی سایبری که در جمع‌آوری اطلاعات تخصص دارند، دیده می‌شود.

یکی دیگر از تاکتیک‌های رایج[۹] مورد استفاده مهاجمان[۱۰]، استفاده از دامنه‌های در معرض خطر، اما قانونی[۱۱] برای اهداف C2 و توزیع بدافزار است.

در آگوست ۲۰۲۳، Infoblox یک حمله گسترده[۱۲] شامل وب سایت های وردپرس در معرض خطر را فاش کرد که بازدیدکنندگان را به طور مشروط به دامنه های C2 واسطه و الگوریتم تولید دامنه فرهنگ لغت (DDGA) هدایت می کند. این فعالیت[۱۳] به یک بازیگر تهدید به نام VexTrio نسبت داده شده است.

منابع

[۱] https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days

[۲] https://www.radware.com/security/ddos-threats-attacks/threat-advisories-attack-reports/jenx

[۳] https://thehackernews.com/2023/11/alert-oracleiv-ddos-botnet-targets.html

[۴] https://nsfocusglobal.com/mirai-botnets-new-wave-hailbot-kiraibot-catddos-and-their-fierce-onslaught

[۵] https://thehackernews.com/2023/08/ongoing-xurum-attacks-on-e-commerce.html

[۶] https://www.akamai.com/blog/security-research/defeating-webshells-wso-ng

[۷] https://thehackernews.com/2023/10/new-magecart-campaign-alters-404-error.html

[۸] https://www.microsoft.com/en-us/security/blog/2021/02/11/web-shell-attacks-continue-to-rise

[۹] https://thehackernews.com/2023/01/over-4500-wordpress-sites-hacked-to.html

[۱۰] https://thehackernews.com/2022/05/thousands-of-wordpress-sites-hacked-to.html

[۱۱] https://thehackernews.com/2023/10/over-17000-wordpress-sites-compromised.html