Forscher haben mehrere verwundbare Endpunkte entdeckt, die von einer neuen Mirai-Variante ins Visier genommen werden. Die Endpunkte werden in ein Botnetz integriert und für DDoS-Angriffe genutzt. Die genutzten Schwachstellen sind Jahre alt.

Mirai, ein berüchtigtes Botnetz, das auf Internet of Things (IoT)-Geräte abzielt, um sie in Distributed Denial of Service (DDoS)-Angriffen zu verwenden, hat eine neue Variante erhalten, die nun mehrere verwundbare Geräte ins Visier nimmt, warnen Experten. Der Schädling zielt angeblich auf DigiEver DS-2105 Pro NVRs, mehrere TP-Link-Router mit veralteter Firmware und Teltonika RUT9XX-Router ab. Bei DigiEver nutzt Mirai eine ungepatchte Schwachstelle für Remote Code Execution (RCE), die nicht einmal eine Trackingnummer hat. Bei TP-Link missbraucht Mirai CVE-2023-1389, und bei Teltonika geht es um CVE-2018-17532. Es ist erwähnenswert, dass die Schwachstelle von TP-Link ein Jahr alt ist, während die von Teltonika etwa sechs Jahre alt ist. Das bedeutet, dass die Kriminellen hauptsächlich Organisationen mit schlechter Cybersecurity und Patching-Praktiken ins Visier nehmen.

Mirai ist eine aktive Bedrohung
Die Kampagne begann höchstwahrscheinlich im September oder Oktober 2024 und verwendet laut Forschern von Akamai XOR- und ChaCha20-Verschlüsselung und zielt auf verschiedene Systemarchitekturen ab, einschließlich ARM, MIPS und x86. „Obwohl der Einsatz komplexer Entschlüsselungsmethoden nichts Neues ist, deutet dies auf sich entwickelnde Taktiken, Techniken und Verfahren unter den Mirai-basierten Botnetz-Betreibern hin“, sagte Akamai. „Dies ist größtenteils bemerkenswert, weil viele Mirai-basierte Botnetze immer noch auf der ursprünglichen String-Obfuskationslogik aus recyceltem Code basieren, die in der ursprünglichen Mirai-Malware-Quellcode-Veröffentlichung enthalten war.“ Experten von Juniper Research warnten kürzlich davor, dass Mirai-Betreiber nach leicht zu kompromittierenden Session Smart-Routern suchen. „Am Mittwoch, den 11. Dezember 2024, berichteten mehrere Kunden von verdächtigem Verhalten auf ihren Session Smart Network (SSN)-Plattformen“, sagte Juniper in seinem Sicherheitsbericht. Forscher haben auch kürzlich berichtet, dass Cyberkriminelle eine Schwachstelle in der AVM1203, einem Überwachungskameramodell, das vom taiwanesischen Hersteller AVTECH entworfen und verkauft wird, ausnutzen, um die Endpunkte zu kapern und in das Mirai-Botnetz zu integrieren. Via BleepingComputer.