Mirai Botnet-variant maakt gebruik van de kwetsbaarheid van de Four-Faith-router voor DDoS-aanvallen

Er is een Mirai-botnetvariant gevonden die misbruik maakt van een nieuw onthuld beveiligingslek dat sinds begin november 2024 gevolgen heeft voor industriële routers van Four-Faith, met als doel gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren.

Het botnet onderhoudt dagelijks ongeveer 15.000 actieve IP-adressen, waarbij de infecties voornamelijk verspreid zijn over China, Iran, Rusland, Turkije en de Verenigde Staten.

De malware maakt gebruik van een arsenaal aan meer dan twintig bekende beveiligingsproblemen en zwakke Telnet-referenties voor initiële toegang en is actief sinds februari 2024. Het botnet wordt ‘gayfemboy’ genoemd, verwijzend naar de aanstootgevende term in de broncode.

QiAnXin XLab zei dat het de malware had waargenomen die gebruik maakte van een zero-day-kwetsbaarheid in industriële routers vervaardigd door het in China gevestigde Four-Faith om de artefacten al op 9 november 2024 te leveren.

De kwetsbaarheid in kwestie is CVE-2024-12856 (CVSS-score: 7,2), die verwijst naar een opdrachtinjectiefout in het besturingssysteem (OS) die de routermodellen F3x24 en F3x36 treft door gebruik te maken van ongewijzigde standaardreferenties.

Eind vorige maand vertelde VulnCheck aan The Hacker News dat de kwetsbaarheid in het wild is misbruikt om reverse shells en een Mirai-achtige payload op aangetaste apparaten te plaatsen.

Enkele van de andere beveiligingsfouten die door het botnet worden uitgebuit om zijn bereik en schaal te vergroten zijn CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017 -5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 en CVE-2024-8957.

Eenmaal gelanceerd, probeert de malware kwaadaardige processen te verbergen en implementeert een op Mirai gebaseerd opdrachtformaat om te scannen op kwetsbare apparaten, zichzelf bij te werken en DDoS-aanvallen uit te voeren tegen interessante doelen.

DDoS-aanvallen waarbij gebruik wordt gemaakt van het botnet zijn dagelijks gericht op honderden verschillende entiteiten, waarbij de activiteit een nieuwe piek bereikt in oktober en november 2024. De aanvallen duren weliswaar tussen de 10 en 30 seconden, maar genereren verkeer van ongeveer 100 Gbps.

De onthulling komt weken nadat Juniper Networks waarschuwde dat Session Smart Router (SSR)-producten met standaardwachtwoorden het doelwit zijn van kwaadwillende actoren om de Mirai-botnet-malware te laten vallen. Akamai heeft ook Mirai-malwarebesmettingen onthuld die een fout in de uitvoering van externe code in DigiEver DVR’s bewapenen.

“DDoS is een van de meest voorkomende en destructieve vormen van cyberaanvallen geworden”, aldus XLab-onderzoekers. “De aanvalsmodi zijn divers, aanvalspaden zijn sterk verborgen en het kan voortdurend evoluerende strategieën en technieken gebruiken om nauwkeurige aanvallen uit te voeren op verschillende industrieën en systemen, wat een aanzienlijke bedreiging vormt voor bedrijven, overheidsorganisaties en individuele gebruikers.”

De ontwikkeling komt ook doordat bedreigingsactoren gevoelige en verkeerd geconfigureerde PHP-servers (bijvoorbeeld CVE-2024-4577) gebruiken om een ​​cryptocurrency-miner genaamd PacketCrypt in te zetten.

Thijs Van der Does