Sicherheitsforscher beobachten eine neue Botnetz-Baukampagne namens Murdoc

Sicherheitsforscher des Qualys Threat Research Unit haben eine neue groß angelegte Operation beobachtet, die Schwachstellen in IP-Kameras und Routern ausnutzt, um ein Botnetz aufzubauen. In einer technischen Analyse sagte Qualys, dass die Angreifer hauptsächlich die Schwachstellen CVE-2017-17215 und CVE-2024-7029 ausnutzten, um AVTECH IP-Kameras und Huawei HG532 Router zu kompromittieren. Das Botnetz ist im Grunde genommen Mirai, wurde in diesem Fall jedoch als Murdoc bezeichnet. Qualys sagte, dass Murdoc „erweiterte Fähigkeiten zeigt, Schwachstellen auszunutzen, um Geräte zu kompromittieren und umfangreiche Botnetz-Netzwerke aufzubauen.“

Das beharrliche Mirai
Die Kampagne begann höchstwahrscheinlich im Juli 2024 und konnte bisher 1.370 Systeme kompromittieren. Die meisten Opfer befinden sich in Malaysia, Mexiko, Thailand, Indonesien und Vietnam. Mit einem Netzwerk von internetverbundenen Geräten (Bots) unter ihrer Kontrolle können bösartige Akteure Distributed Denial of Service (DDoS)-Angriffe durchführen, Websites und Dienste lahmlegen, den Betrieb stören und finanziellen und Reputationsschaden verursachen. Mirai ist eine äußerst populäre Botnetz-Malware. Entwickelt von drei College-Studenten in den USA: Paras Jha, Josiah White und Dalton Norman, erlangte Mirai 2016 traurige Berühmtheit, nachdem es einen groß angelegten DDoS-Angriff auf Dyn orchestriert hatte, der vorübergehend große Websites wie Netflix und Twitter lahmlegte. Die Entwickler veröffentlichten den Quellcode online, kurz bevor sie 2017 verhaftet wurden. Sie bekannten sich schuldig, das Botnetz für DDoS-Angriffe und andere Machenschaften genutzt zu haben. Während die Strafverfolgungsbehörden weiterhin darauf abzielen, das Botnetz zu bekämpfen und zu stören, zeigt es eine große Widerstandsfähigkeit und ist bis heute aktiv. Vor weniger als zwei Wochen wurde eine Mirai-Variante namens ‚gayfemboy‘ entdeckt, die eine Schwachstelle in Four-Faith-Industrieroutern ausnutzte. Obwohl offensichtlich von Mirai abgeleitet, unterscheidet sich diese neue Version erheblich, indem sie mehr als 20 Schwachstellen ausnutzt und schwache Telnet-Passwörter angreift. Einige der Schwachstellen wurden zuvor noch nie gesehen und haben noch keine zugeordneten CVEs. Darunter befinden sich Bugs in Neterbit-Routern und Vimar Smart-Home-Geräten.