Een actieve malwarecampagne maakt gebruik van twee zero-day-kwetsbaarheden met Remote Code Execution (RCE)-functionaliteit om routers en videorecorders te koppelen aan een op Mirai gebaseerd gedistribueerd denial-of-service (DDoS)-botnet.
“De payload richt zich op routers en netwerkvideorecorders (NVR) met standaard beheerdersreferenties en installeert Mirai-varianten wanneer dit lukt”, zei Akamai in een advies dat deze week werd gepubliceerd.
Details van de fouten zijn momenteel geheim, zodat de twee leveranciers patches kunnen publiceren en kunnen voorkomen dat andere bedreigingsactoren deze misbruiken. De oplossingen voor een van de kwetsbaarheden worden naar verwachting volgende maand verzonden.
De aanvallen werden eind oktober 2023 voor het eerst ontdekt door het webinfrastructuur- en beveiligingsbedrijf tegen zijn honeypots. De daders van de aanvallen zijn nog niet geïdentificeerd.
Het botnet, dat de codenaam InfectedSlurs heeft gekregen vanwege het gebruik van racistisch en aanstootgevend taalgebruik op de command-and-control (C2)-servers en hardgecodeerde strings, is een JenX Mirai-malwarevariant die in januari 2018 aan het licht kwam.
Akamai zei dat het ook aanvullende malwaremonsters identificeerde die verband leken te houden met de hailBot Mirai-variant, waarvan de laatste in september 2023 opdook, volgens een recente analyse van NSFOCUS.
“De hailBot is ontwikkeld op basis van de Mirai-broncode en de naam is afgeleid van de stringinformatie ‘hail china mainland’ die na het draaien wordt uitgevoerd”, merkte het cyberbeveiligingsbedrijf met het hoofdkantoor in Peking op, waarin het vermogen om zich te verspreiden via misbruik van kwetsbaarheden en zwakke wachtwoorden werd beschreven.
De ontwikkeling komt op het moment dat Akamai een webshell heeft uitgewerkt met de naam wso-ng, een ‘geavanceerde iteratie’ van WSO (afkorting van ‘web shell by oRb’) die kan worden geïntegreerd met legitieme tools zoals VirusTotal en SecurityTrails, terwijl de inloginterface heimelijk achter een 404-fout wordt verborgen. pagina wanneer u probeert deze te openen.
Een van de opmerkelijke verkenningsmogelijkheden van de webshell is het ophalen van AWS-metagegevens voor daaropvolgende zijdelingse verplaatsing en het zoeken naar potentiële Redis-databaseverbindingen om ongeautoriseerde toegang tot gevoelige applicatiegegevens te verkrijgen.
“Webshells stellen aanvallers in staat commando’s op servers uit te voeren om gegevens te stelen of de server te gebruiken als lanceerplatform voor andere activiteiten, zoals diefstal van inloggegevens, zijdelingse verplaatsing, inzet van extra ladingen of hands-on-toetsenbordactiviteit, terwijl aanvallers kunnen blijven doorgaan met het uitvoeren van commando’s op servers. een getroffen organisatie”, zei Microsoft in 2021.
Het gebruik van kant-en-klare webshells wordt ook gezien als een poging van bedreigingsactoren om attributie-inspanningen aan te vechten en onder de radar te blijven, een belangrijk kenmerk van cyberspionagegroepen die gespecialiseerd zijn in het verzamelen van inlichtingen.
Een andere veelgebruikte tactiek van aanvallers is het gebruik van gecompromitteerde maar legitieme domeinen voor C2-doeleinden en de verspreiding van malware.
In augustus 2023 maakte Infoblox een wijdverbreide aanval bekend waarbij gecompromitteerde WordPress-websites betrokken waren die bezoekers voorwaardelijk omleiden naar tussenliggende C2- en DDGA-domeinen (Dictionary Domain Generation Algoritme). De activiteit wordt toegeschreven aan een bedreigingsacteur genaamd VexTrio.
