Ícone do site SempreUpdate

Nova botnet baseada em Mirai explora falhas em NVRs e roteadores TP-Link

nova-variante-de-botnet-mirai-mira-em-vulnerabilidades-em-servidores-baseados-em-linux-e-dispositivos-iot

A nova ameaça de botnet baseada em Mirai está em circulação, explorando falhas de segurança em dispositivos de rede, como NVRs DigiEver e roteadores TP-Link, para realizar ataques cibernéticos.

Desde outubro de 2024, a campanha de ataque tem sido observada, e os pesquisadores descobriram que a vulnerabilidade em questão permite a execução remota de código (RCE) em dispositivos de vigilância e roteadores com firmware desatualizado. Em particular, os NVRs DigiEver DS-2105 Pro têm sido um alvo frequente dessa nova botnet, que ainda não recebeu um número de rastreamento específico.

A vulnerabilidade foi identificada pelo pesquisador Ta-Lun Yen, da TXOne, e foi mencionada na conferência DefCamp em Bucareste, Romênia, no ano passado. Embora a falha tenha sido divulgada, ela não parece ter sido corrigida, deixando os dispositivos vulneráveis a ataques.

De acordo com a Akamai, a exploração dessa falha remonta a pelo menos setembro de 2024. A botnet, que se originou a partir do código Mirai, também está aproveitando outras falhas críticas, como o CVE-2023-1389 em roteadores TP-Link e o CVE-2018-17532 em roteadores Teltonika RUT9XX, para expandir seus ataques.

Como os ataques acontecem

o-botnet-phorpiex-retorna-ainda-mais-forte
Imagem: TechNadu

Nos NVRs DigiEver, os atacantes exploram uma falha no URI ‘/cgi-bin/cgi_main.cgi’, que permite a injeção de comandos maliciosos, como ‘curl’ e ‘chmod’, por meio de entradas de usuário não validadas. Isso possibilita a execução de comandos arbitrários que permitem que o malware seja baixado e executado no dispositivo comprometido.

Após o comprometimento, os dispositivos são adicionados à botnet e podem ser usados para ataques de negação de serviço distribuído (DDoS) ou para propagar a ameaça para outros dispositivos vulneráveis. A persistência é garantida pela adição de tarefas cron no sistema.

Características da nova variante do Mirai

O que diferencia essa nova versão do Mirai é o uso de técnicas de criptografia mais avançadas, como XOR e ChaCha20, que são aplicadas para proteger o código da botnet e dificultar a detecção. Isso indica que os operadores da botnet estão aprimorando suas táticas, técnicas e procedimentos.

Enquanto muitas botnets ainda utilizam métodos básicos de ofuscação de código, a presença dessas criptografias sugere que há um esforço contínuo para melhorar a segurança das operações maliciosas.

Como se proteger

Os pesquisadores da Akamai divulgaram indicadores de comprometimento (IoC) relacionados a essa campanha, bem como regras Yara para ajudar na detecção e mitigação dessa ameaça. Atualizar regularmente o firmware dos dispositivos e monitorar atividades suspeitas na rede são medidas essenciais para prevenir esses ataques.

Sair da versão mobile