A nova ameaça de botnet baseada em Mirai está em circulação, explorando falhas de segurança em dispositivos de rede, como NVRs DigiEver e roteadores TP-Link, para realizar ataques cibernéticos.
Desde outubro de 2024, a campanha de ataque tem sido observada, e os pesquisadores descobriram que a vulnerabilidade em questão permite a execução remota de código (RCE) em dispositivos de vigilância e roteadores com firmware desatualizado. Em particular, os NVRs DigiEver DS-2105 Pro têm sido um alvo frequente dessa nova botnet, que ainda não recebeu um número de rastreamento específico.
A vulnerabilidade foi identificada pelo pesquisador Ta-Lun Yen, da TXOne, e foi mencionada na conferência DefCamp em Bucareste, Romênia, no ano passado. Embora a falha tenha sido divulgada, ela não parece ter sido corrigida, deixando os dispositivos vulneráveis a ataques.
De acordo com a Akamai, a exploração dessa falha remonta a pelo menos setembro de 2024. A botnet, que se originou a partir do código Mirai, também está aproveitando outras falhas críticas, como o CVE-2023-1389 em roteadores TP-Link e o CVE-2018-17532 em roteadores Teltonika RUT9XX, para expandir seus ataques.
Como os ataques acontecem
Nos NVRs DigiEver, os atacantes exploram uma falha no URI ‘/cgi-bin/cgi_main.cgi’, que permite a injeção de comandos maliciosos, como ‘curl’ e ‘chmod’, por meio de entradas de usuário não validadas. Isso possibilita a execução de comandos arbitrários que permitem que o malware seja baixado e executado no dispositivo comprometido.
Notícias Relacionadas
Segurança cibernética
Pacotes maliciosos no PyPI roubam dados e sequestram contas de usuários
Pesquisadores identificaram dois pacotes maliciosos no repositório PyPI, que exfiltram informações confidenciais e sequestram contas de redes sociais. Saiba mais sobre os riscos.
Ataques cibernéticos
Hackers norte-coreanos roubam US$ 1,3 bilhão (aproximadamente R$ 7,9 bilhões) em criptomoedas em 2024
Em 2024, hackers norte-coreanos roubaram US$ 1,34 bilhão (aproximadamente R$ 8,1 bilhões) em criptomoedas, representando 61% dos valores totais roubados, com destaque para os ataques à DMM Bitcoin e WazirX.
Após o comprometimento, os dispositivos são adicionados à botnet e podem ser usados para ataques de negação de serviço distribuído (DDoS) ou para propagar a ameaça para outros dispositivos vulneráveis. A persistência é garantida pela adição de tarefas cron no sistema.
Características da nova variante do Mirai
O que diferencia essa nova versão do Mirai é o uso de técnicas de criptografia mais avançadas, como XOR e ChaCha20, que são aplicadas para proteger o código da botnet e dificultar a detecção. Isso indica que os operadores da botnet estão aprimorando suas táticas, técnicas e procedimentos.
Enquanto muitas botnets ainda utilizam métodos básicos de ofuscação de código, a presença dessas criptografias sugere que há um esforço contínuo para melhorar a segurança das operações maliciosas.
Como se proteger
Os pesquisadores da Akamai divulgaram indicadores de comprometimento (IoC) relacionados a essa campanha, bem como regras Yara para ajudar na detecção e mitigação dessa ameaça. Atualizar regularmente o firmware dos dispositivos e monitorar atividades suspeitas na rede são medidas essenciais para prevenir esses ataques.
