Source: www.csoonline.com – Author:
Sicherheitsforscher warnen vor einer neuen Variante des Mirai-Botnet. Angreifer nutzten es für Zero-Day-Exploits auf Industrierouter.
Jaiz Anuar – Shutterstock.com
Security-Analysen zufolge verbreitet sich das auf der berüchtigten Mirai-Malware basierende Botnet Gayfemboy derzeit auf der ganzen Welt. Forscher von Chainxin X Lab stellten fest, dass Cyberkriminelle das Botnet seit November 2024 nutzen, um bislang unbekannte Schwachstellen anzugreifen. Zu den bevorzugten Zielen des Botnetzes gehören Router der Marken Four-Faith und Neterbit oder Smart-Home-Geräte.
In diesem Zusammenhang berichteten Experten von VulnCheck Ende Dezember vor einer Schwachstelle bei Industrieroutern von Four-Faith (CVE-2024-12856), die in freier Wildbahn ausgenutzt wurde. Die Angreifer nutzten demnach die Standardanmeldeinformationen des Routers aus, um eine Remote Command Injection zu starten.
Darüber hinaus wurde das Botnet für gezielte Angriffe auf unbekannte Schwachstellen in Neterbit-Routern und Smart-Home-Geräten von Vimar verwendet. Nach Angaben von Chainxin X Lab wird Gayfemboy für insgesamt 20 Schwachstellen und schwache Telnet-Passwörter eingesetzt. Es verfügt über ein Brute-Force-Modul für unsichere Telnet-Passwörter, verwendet benutzerdefiniertes UPX-Packing mit eindeutigen Signaturen und implementiert Mirai-basierte Befehlsstrukturen. Dadurch seien die Angreifer in der Lage, Clients zu aktualisieren, Netzwerke zu scannen und DDoS-Attacken durchzuführen.
Angriffsziele
Den Forschern zufolge werden über das Botnet seit seiner Entdeckung im Februar 2024 täglich Hunderte von Zielen angegriffen. Die Zahl der täglich aktiven Bot-IPs liegt demnach bei 15.000, die meisten davon befinden sich in China, den USA, Russland, der Türkei und dem Iran. Die Angriffsziele sind auf der ganzen Welt verteilt und betreffen verschiedenen Branchen. Die Hauptangriffsziele befinden sich in China, den Vereinigten Staaten, Deutschland, dem Vereinigten Königreich und Singapur.
Laut Chainxin X Lab sind die DDoS-Angriffe des Botnet zwar von kurzer Dauer (zwischen 10 und 30 Sekunden), weisen jedoch eine hohe Intensität auf, wobei die Datenrate 100 Gbit/s übersteigt und selbst bei robusten Infrastrukturen zu Störungen führen kann.
Gefährdete Geräte
Der Analyse zufolge zielen die Angriffe des Botnet auf folgende Geräte ab:
- ASUS-Router (über N-Day-Exploits).
- Huawei-Router (über CVE-2017-17215)
- Neterbit-Router (benutzerdefinierter Exploit)
- LB-Link-Router (über CVE-2023-26801)
- Four-Faith Industrial Routers (über den Zero-Day, der jetzt als CVE-2024-12856 verfolgt wird)
- PZT-Kameras (über CVE-2024-8956 und CVE-2024-8957 )
- Kguard DVR
- Lilin DVR (über Exploits zur Remote-Code-Ausführung)
- Generische DVRs (unter Verwendung von Exploits wie TVT editBlackAndWhiteList RCE)
- Vimar-Smart-Home-Geräte (vermutlich unter Ausnutzung einer unbekannten Schwachstelle)
- Verschiedene 5G/LTE-Geräte (wahrscheinlich aufgrund von Fehlkonfigurationen oder schwachen Anmeldeinformationen)
SUBSCRIBE TO OUR NEWSLETTER
From our editors straight to your inbox
Get started by entering your email address below.
Original Post url: https://www.csoonline.com/article/3682107/neues-mirai-botnet-zielt-auf-industrierouter.html
Category & Tags: Artificial Intelligence – Artificial Intelligence
Views: 0
