سوء استفاده بات نت Mirai از آسیب پذیری روتر Four-Faith برای حملات DDoS

یک نوع بات نت Mirai پیدا شده است که از یک نقص امنیتی جدید فاش شده که بر روترهای صنعتی Four-Faith از اوایل نوامبر ۲۰۲۴ با هدف انجام حملات انکار سرویس توزیع شده (DDoS) تأثیر می گذارد، بهره برداری می‌کند.

این بات‌نت روزانه تقریباً ۱۵۰۰۰ آدرس IP فعال دارد که آلودگی‌ها عمدتاً در چین، ایران، روسیه، ترکیه و ایالات متحده پراکنده شده‌اند.

این بدافزار با بهره‌برداری از بیش از ۲۰ آسیب‌پذیری امنیتی شناخته‌شده و اعتبار ضعیف Telnet برای دسترسی اولیه، شناخته شده است که از فوریه ۲۰۲۴ فعال بوده است. این بات‌نت با اشاره به عبارت توهین‌آمیز موجود در کد منبع، «gayfemboy» نامیده شده است.

QiAnXin XLab گفت[۱] که این بدافزار را مشاهده کرده است که از آسیب‌پذیری روز صفر در روترهای صنعتی ساخته شده توسط Four-Faith مستقر در چین برای ارائه مصنوعات در اوایل ۹ نوامبر ۲۰۲۴ استفاده می‌کند.

آسیب پذیری مورد بحث CVE-2024-12856 (امتیاز ۷٫۲ در CVSS) است که به یک اشکال تزریق فرمان سیستم عامل (OS) اشاره دارد که با استفاده از اعتبارنامه های پیش فرض بدون تغییر، مدل های روتر F3x24 و F3x36 را تحت تأثیر قرار می دهد.

اواخر ماه گذشته، VulnCheck به The Hacker News گفت[۲] که این آسیب‌پذیری در سطح اینترنت برای رها کردن پوسته‌های معکوس و محموله‌ای شبیه Mirai روی دستگاه‌های در معرض خطر مورد بهره‌برداری قرار گرفته است.

برخی دیگر از نقص های امنیتی که توسط این بات نت برای گسترش دامنه و مقیاس آن مورد بهره‌برداری قرار می گیرد عبارتند از CVE-2013-3307، CVE-2013-7471، CVE-2014-8361، CVE-2016-20016، CVE-2017-17215، CVE-201. -5259، CVE-2020-25499، CVE-2020-9054، CVE-2021-35394، CVE-2023-26801، CVE-2024-8956، و CVE-2024-8957.

پس از راه اندازی، این بدافزار تلاش می کند تا فرآیندهای مخرب را پنهان کند و یک فرمت دستوری مبتنی بر Mirai را برای اسکن دستگاه های آسیب پذیر، به روز رسانی خود و راه اندازی حملات DDoS علیه اهداف مورد نظر پیاده سازی می کند.

حملات DDoS با افزایش فعالیت در اکتبر و نوامبر ۲۰۲۴ و با استفاده از بات نت صدها نهاد مختلف را به صورت روزانه هدف قرار داده اند. این حملات در حالی که بین ۱۰ تا ۳۰ ثانیه طول می کشد، ترافیکی در حدود ۱۰۰ گیگابیت بر ثانیه ایجاد می کند.

این افشا چند هفته پس از هشدار[۳] Juniper Networks مبنی بر اینکه محصولات Session Smart Router (SSR) با رمزهای عبور پیش‌فرض توسط عوامل مخرب برای حذف بدافزار بات‌نت Mirai مورد هدف قرار می‌گیرند، صورت می‌گیرد. Akamai همچنین آلودگی‌های بدافزار Mirai را فاش کرده است که نقص اجرای کد از راه دور در دی‌وی‌آرهای DigiEver را به سلاح تبدیل می‌کند.

محققان XLab می‌گویند: «DDoS به یکی از رایج‌ترین و مخرب‌ترین انواع حملات سایبری تبدیل شده است. «حالت‌های حمله آن متنوع است، مسیرهای حمله به شدت پنهان است، و می‌تواند استراتژی‌ها و تکنیک‌های دائمی در حال تکامل را برای انجام حملات دقیق علیه صنایع و سیستم‌های مختلف به کار گیرد که تهدیدی قابل‌توجه برای شرکت‌ها، سازمان‌های دولتی و کاربران فردی است.»

این توسعه همچنین زمانی انجام می شود که عوامل تهدید از سرورهای PHP حساس و پیکربندی نادرست (مانند [۴]CVE-2024-4577) برای استقرار یک ماینر ارز دیجیتال به نام PacketCrypt استفاده می کنند[۵].

  منابع

[۱] https://blog.xlab.qianxin.com/gayfemboy-en

[۲] https://thehackernews.com/2024/12/15000-four-faith-routers-exposed-to-new.html

[۳] https://apa.aut.ac.ir/?p=10882

[۴] https://apa.aut.ac.ir/?p=10497

[۵] https://isc.sans.edu/diary/31564

[۶] https://thehackernews.com/2025/01/mirai-botnet-variant-exploits-four.html