Een inmiddels gekoppelde kritische beveiligingsfout in de Wazur-server wordt geëxploiteerd door dreigingsacteurs om twee verschillende Mirai Botnet-varianten te laten vallen en te gebruiken om gedistribueerde Denial-of-Service (DDOS) -aanvallen uit te voeren.
Akamai, dat voor het eerst de exploitatie-inspanningen eind maart 2025 ontdekte, zei dat de kwaadaardige campagne zich richt op CVE-2025-24016 (CVSS-score: 9.9), een onveilige kwetsbaarheid van deserialisatie die de externe code-uitvoering op Wazuh-servers mogelijk maakt.
Het beveiligingsdefect, dat alle versies van de serversoftware inclusief en boven 4.4.0 beïnvloedt, werd in februari 2025 aangepakt met de release van 4.9.1. Een proof-of-concept (POC) exploit werd publiekelijk bekendgemaakt rond dezelfde tijd dat de patches werden vrijgegeven.
Het probleem is geworteld in de Wazuh API, waarbij parameters in de gedistribueerdeapi worden geserialiseerd als JSON en gedeserialiseerd met behulp van “as_wazuh_object” in het framework/wazuh/core/cluster/common.py -bestand. Een dreigingsacteur zou de kwetsbaarheid kunnen bewapenen door kwaadaardige JSON -payloads te injecteren om willekeurige Python -code op afstand uit te voeren.
Het webinfrastructuurbedrijf zei dat het pogingen van twee verschillende botnetten ontdekte om CVE-2025-24016 slechts enkele weken na openbare openbaarmaking van de fout en de release van de POC te exploiteren. De aanvallen werden begin maart en mei 2025 geregistreerd.
“Dit is het nieuwste voorbeeld van de steeds kleiner wordende time-naar-exploit-tijdlijnen die Botnet-operators hebben overgenomen voor nieuw gepubliceerde CVE’s,” zeiden beveiligingsonderzoekers Kyle Lefton en Daniel Messing in een rapport gedeeld met The Hacker News.
In eerste instantie maakt een succesvolle exploit de weg vrij voor de uitvoering van een shell -script dat dient als een downloader voor de Mirai Botnet -payload van een externe server (“176.65.134 (.) 62”) voor verschillende architecturen. Er wordt beoordeeld dat de malwaremonsters varianten zijn van LZRD Mirai, die al sinds 2023 bestaat.
Het is vermeldenswaard dat LZRD ook onlangs is ingezet in aanvallen die geovisie einde-leven (EOL) Internet of Things (IoT) -apparaten exploiteren. Akamai vertelde The Hacker News echter dat er geen bewijs is dat deze twee activiteitenclusters het werk zijn van dezelfde dreigingsacteur, gezien het feit dat LZRD wordt gebruikt door talloze Botnet -operators.
Verdere infrastructuuranalyse van “176.65.134 (.) 62” en de bijbehorende domeinen hebben geleid tot de ontdekking van andere Mirai Botnet -versies, waaronder LZRD -varianten genaamd “Neon” en “Vision” en een bijgewerkte versie van V3G4.
Sommige van de andere beveiligingsfouten die door het botnet worden gebruikt, zijn gebreken in Hadoop-garen, TP-Link Archer AX21 (CVE-2023-1389) en een externe code-uitvoeringsugbug in ZTE ZXV10 H108L-routers.
Het tweede botnet om CVE-2025-24016 te misbruiken, maakt gebruik van een vergelijkbare strategie voor het gebruik van een kwaadwillend shell-script om een andere Mirai Botnet-variant te leveren die Resbot wordt genoemd (AKA-wrok).
“Een van de interessante dingen die we aan dit botnet hebben opgemerkt, was de bijbehorende taal. Het gebruikte verschillende domeinen om de malware te verspreiden die allemaal de Italiaanse nomenclatuur had,” zeiden de onderzoekers. “De taalconventies van de taalkundige naam kunnen wijzen op een campagne om zich te richten op apparaten die eigendom zijn van en worden gerund door Italiaans sprekende gebruikers met name.”
Besides attempting to spread via FTP over port 21 and conducting telnet scanning, the botnet has been found to leverage a wide range of exploits targeting Huawei HG532 router (CVE-2017-17215), Realtek SDK (CVE-2014-8361), and TrueOnline ZyXEL P660HN-T v1 router (CVE-2017-18368).
“De verspreiding van Mirai gaat relatief onverminderd door, omdat het nogal eenvoudig blijft om de oude broncode opnieuw te gebruiken en opnieuw te gebruiken om nieuwe botnets in te stellen of te maken,” zeiden de onderzoekers. “En BotNet -operators kunnen vaak succes vinden met eenvoudig gebruik van nieuw gepubliceerde exploits.”
CVE-2025-24016 is verre van de enige kwetsbaarheid om te worden misbruikt door Mirai Botnet-varianten. In recente aanvallen hebben dreigingsactoren ook gebruik gemaakt van CVE-2024-3721, een kwetsbaarheid voor commando-injectie met medium-ernst die de TBK DVR-4104 en DVR-4216 digitale video-opnamekosten beïnvloedt, om ze in te schakelen in het Botnet.
De kwetsbaarheid wordt gebruikt om de uitvoering van een shell -script te activeren dat verantwoordelijk is voor het downloaden van het Mirai -botnet van een externe server (“42.112.26 (.) 36”) en het uitvoeren, maar niet voordat het controleert of het momenteel in een virtuele machine of QEMU wordt uitgevoerd.
Het Russische cybersecuritybedrijf Kaspersky zei dat de infecties geconcentreerd zijn rond China, India, Egypte, Oekraïne, Rusland, Turkije en Brazilië, waardoor het meer dan 50.000 blootgestelde DVR -apparaten heeft geïdentificeerd.
“Het benutten van bekende beveiligingsfouten in IoT-apparaten en servers die niet zijn gepatcht, samen met het wijdverbreide gebruik van malware gericht op Linux-gebaseerde systemen, leidt ertoe dat een aanzienlijk aantal bots constant op internet zoeken naar apparaten om te infecteren,” zei beveiligingsonderzoeker Anderson Leite.
De openbaarmaking komt als China, India, Taiwan, Singapore, Japan, Maleisië, Hong Kong, Indonesië, Zuid -Korea en Bangladesh zijn ontstaan als de meest gerichte landen in de APAC -regio in het eerste kwartaal van 2025, volgens de statistieken gedeeld door Stormwall.
“API -overstromingen en tapijtbombardementen groeien sneller dan traditionele volumetrische TCP/UDP -aanvallen, waardoor bedrijven slimmere, flexibelere verdedigingen aannemen,” zei het bedrijf. “Tegelijkertijd leiden de stijgende geopolitieke spanningen tot een toename van aanvallen op overheidssystemen en Taiwan-met de nadruk op verhoogde activiteiten van hacktivisten en door de overheid gesponsorde dreigingsacteurs.”
Het volgt ook een advies van het US Federal Bureau of Investigation (FBI) dat het Badbox 2.0-botnet miljoenen op internet verbonden apparaten heeft geïnfecteerd, waarvan de meeste in China zijn vervaardigd, om ze in woningen te veranderen om criminele activiteiten te vergemakkelijken.
“Cybercriminelen krijgen ongeautoriseerde toegang tot thuisnetwerken door het product te configureren met kwaadaardige software voorafgaand aan de aankoop van de gebruiker of het infecteren van het apparaat, omdat het de vereiste applicaties downloadt die backdoors bevatten, meestal tijdens het opstellingsproces,” zei de FBI.
“Het Badbox 2.0 -botnet bestaat uit miljoenen geïnfecteerde apparaten en onderhoudt talloze backdoors aan proxy -diensten die cybercriminele actoren exploiteren door gratis toegang te geven tot gecompromitteerde thuisnetwerken die moeten worden gebruikt voor verschillende criminele activiteiten.”
