Nieuw 'Goldoon'-botnet richt zich op D-Link-routers met tien jaar oude fout

Een nog nooit eerder gezien botnet gebeld Goudoen Er is waargenomen dat D-Link-routers met een bijna tien jaar oud kritiek beveiligingslek zijn getarget, met als doel de gecompromitteerde apparaten te gebruiken voor verdere aanvallen.

De kwetsbaarheid in kwestie is CVE-2015-2051 (CVSS-score: 9,8), die D-Link DIR-645-routers treft en aanvallers op afstand in staat stelt willekeurige opdrachten uit te voeren door middel van speciaal vervaardigde HTTP-verzoeken.

“Als een gericht apparaat wordt aangetast, kunnen aanvallers volledige controle krijgen, waardoor ze systeeminformatie kunnen extraheren, communicatie met een C2-server tot stand kunnen brengen en deze apparaten vervolgens kunnen gebruiken om verdere aanvallen uit te voeren, zoals gedistribueerde denial-of-service (DDoS), ', zeggen Fortinet FortiGuard Labs-onderzoekers Cara Lin en Vincent Li.

Telemetriegegevens van het netwerkbeveiligingsbedrijf wijzen op een piek in de botnetactiviteit rond 9 april 2024.

Het begint allemaal met de exploitatie van CVE-2015-2051 om een ​​dropper-script op te halen van een externe server, die verantwoordelijk is voor het downloaden van de volgende fase van de payload voor verschillende Linux-systeemarchitecturen, waaronder aarch64, arm, i686, m68k, mips64 , mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha en PA-RISC.

De payload wordt vervolgens gelanceerd op het besmette apparaat en fungeert als downloader voor de Goldoon-malware vanaf een extern eindpunt, waarna de dropper het uitgevoerde bestand verwijdert en zichzelf vervolgens verwijdert in een poging het spoor te verbergen en onder de radar te vliegen.

Elke poging om rechtstreeks toegang te krijgen tot het eindpunt via een webbrowser geeft de foutmelding weer: “Sorry, u bent een FBI-agent en we kunnen u niet helpen 🙁 Ga weg of ik vermoord u :)”

Goldoon zet niet alleen persistentie op de host in met behulp van verschillende autorun-methoden, maar legt ook contact met een command-and-control (C2)-server om op commando's voor vervolgacties te wachten.

Dit omvat een “verbazingwekkende 27 verschillende methoden” om DDoS-overstromingsaanvallen uit te voeren met behulp van verschillende protocollen zoals DNS, HTTP, ICMP, TCP en UDP.

“Hoewel CVE-2015-2051 geen nieuwe kwetsbaarheid is en een lage aanvalscomplexiteit heeft, heeft het een kritische impact op de veiligheid die kan leiden tot uitvoering van code op afstand”, aldus de onderzoekers.

De ontwikkeling komt doordat botnets zich blijven ontwikkelen en zoveel mogelijk apparaten exploiteren, zelfs nu cybercriminelen en geavanceerde persistente dreigingsactoren (APT) interesse hebben getoond in gecompromitteerde routers voor gebruik als anonimiseringslaag.

“Cybercriminelen verhuren gecompromitteerde routers aan andere criminelen, en stellen deze hoogstwaarschijnlijk ook beschikbaar aan commerciële particuliere proxyproviders”, aldus cyberbeveiligingsbedrijf Trend Micro in een rapport.

“Natiestaatbedreigingsactoren zoals Sandworm gebruikten hun eigen speciale proxy-botnets, terwijl APT-groep Pawn Storm toegang had tot een crimineel proxy-botnet van Ubiquiti EdgeRouters.”

Botnet

Door de gehackte routers als proxy's te gebruiken, is het doel om sporen van hun aanwezigheid te verbergen en de detectie van kwaadaardige activiteiten moeilijker te maken door hun activiteiten te combineren met goedaardig normaal verkeer.

Eerder deze februari ondernam de Amerikaanse regering stappen om delen van een botnet genaamd MooBot te ontmantelen, dat, naast andere internetgerichte apparaten zoals Raspberry Pi en VPS-servers, voornamelijk gebruik maakte van Ubiquiti EdgeRouters.

Trend Micro zei dat het heeft waargenomen dat de routers worden gebruikt voor Secure Shell (SSH) brute forcering, farmaceutische spam, het gebruik van server message block (SMB)-reflectoren bij NTLMv2 hash relay-aanvallen, het proxyen van gestolen inloggegevens op phishing-sites, multifunctionele proxying, cryptocurrency-mining, en het verzenden van spearphishing-e-mails.

Ubiquiti-routers zijn ook aangevallen door een andere bedreigingsacteur die deze apparaten infecteert met malware genaamd Ngioweb, die vervolgens wordt gebruikt als exit-knooppunten in een commercieel verkrijgbaar residentieel proxy-botnet.

De bevindingen onderstrepen verder het gebruik van verschillende malwarefamilies om de routers samen te brengen tot een netwerk dat dreigingsactoren kunnen controleren, waardoor ze effectief worden omgezet in geheime luisterposten die al het netwerkverkeer kunnen monitoren.

“Internetrouters blijven een populaire troef voor bedreigingsactoren om compromissen te sluiten, omdat ze vaak minder beveiligingsmonitoring hebben, een minder streng wachtwoordbeleid hebben, niet vaak worden bijgewerkt en krachtige besturingssystemen kunnen gebruiken die de installatie van malware mogelijk maken, zoals cryptocurrency-mijnwerkers, proxy’s, gedistribueerde Denial of Service (DDoS-malware), kwaadaardige scripts en webservers”, aldus Trend Micro.

Thijs Van der Does