Neue Mirai-Variante und ZHtrap-Botnet-Malware tauchen in der freien Wildbahn auf

Cyber Security News

Cybersecurity-Forscher haben am Montag eine neue Welle laufender Angriffe aufgedeckt, die mehrere Schwachstellen ausnutzen, um Mirai-Varianten auf kompromittierten Systemen einzusetzen.

“Nach erfolgreicher Ausnutzung versuchen die Angreifer, ein bösartiges Shell-Skript herunterzuladen, das weitere Infektionsvorgänge wie das Herunterladen und Ausführen von Mirai-Varianten und Brute-Forcern enthält”, so das Unit 42 Threat Intelligence Team von Palo Alto Networks in einer Mitteilung.

Zu den Schwachstellen, die ausgenutzt werden, gehören: VisualDoor – eine SonicWall SSL-VPN-Schwachstelle zur Remote-Befehlsinjektion, die Anfang Januar dieses Jahres bekannt wurde CVE-2020-25506 – eine D-Link DNS-320 Firewall-Schwachstelle für Remotecodeausführung (RCE) CVE-2021-27561 und CVE-2021-27562 – Zwei Sicherheitslücken in Yealink Device Management, die es einem nicht authentifizierten Angreifer ermöglichen, beliebige Befehle auf dem Server mit Root-Rechten auszuführen CVE-2021-22502 – ein RCE-Fehler in Micro Focus Operation Bridge Reporter (OBR), der die Version 10.40 betrifft CVE-2019-19356 – ein RCE-Exploit für den Wireless-Router Netis WF2419 und CVE-2020-26919 – eine Netgear ProSAFE Plus RCE-Schwachstelle

Ebenfalls im Mix enthalten sind drei bisher nicht veröffentlichte Command-Injection-Schwachstellen, die gegen unbekannte Ziele eingesetzt wurden, wobei eine davon laut den Forschern in Verbindung mit MooBot beobachtet wurde.

Die Angriffe sollen über einen einmonatigen Zeitraum vom 16. Februar bis zuletzt am 13. März entdeckt worden sein.

Unabhängig von den Schwachstellen, die zur erfolgreichen Ausnutzung verwendet werden, beinhaltet die Angriffskette die Verwendung des Dienstprogramms wget zum Herunterladen eines Shell-Skripts aus der Malware-Infrastruktur, das dann zum Abrufen von Mirai-Binärdateien verwendet wird, einer berüchtigten Malware, die vernetzte IoT-Geräte unter Linux in ferngesteuerte Bots verwandelt, die als Teil eines Botnets in groß angelegten Netzwerkangriffen verwendet werden können.

Neben dem Herunterladen von Mirai wurden zusätzliche Shell-Skripte gesichtet, die ausführbare Dateien abrufen, um Brute-Force-Angriffe zu ermöglichen, mit denen in anfällige Geräte mit schwachen Passwörtern eingebrochen werden kann.

“Der IoT-Bereich bleibt ein leicht zugängliches Ziel für Angreifer. Viele Schwachstellen sind sehr einfach auszunutzen und könnten in einigen Fällen katastrophale Folgen haben”, so der Forscher.

Neues ZHtrap-Botnetz stellt Opfern mit Hilfe eines Honeypots Fallen

In diesem Zusammenhang entdeckten Forscher der chinesischen Sicherheitsfirma Netlab 360 ein neues Mirai-basiertes Botnetz namens ZHtrap, das einen Honeypot nutzt, um zusätzliche Opfer zu fangen, und dabei einige Funktionen von einem DDoS-Botnetz namens Matryosh übernimmt.

[Blocked Image: https://thehackernews.com/images/-uqNg1z1INRs/YFCGXS3KMzI/AAAAAAAACCo/_lMwW_bvOD8a4SK4Ri190P4PBgrM4o2AQCLcBGAsYHQ/s0/botnet-malwar.jpg]

Während Honeypots in der Regel ein Ziel für Cyberkriminelle imitieren, um deren Eindringversuche auszunutzen und mehr Informationen über ihren Modus Operandi zu sammeln, verwendet das ZHtrap-Botnet eine ähnliche Technik, indem es ein Scan-IP-Sammelmodul zum Sammeln von IP-Adressen integriert, die als Ziele für die weitere wurmartige Ausbreitung verwendet werden.

Es erreicht dies, indem es 23 festgelegte Ports abhört und IP-Adressen identifiziert, die sich mit diesen Ports verbinden, und dann die gesammelten IP-Adressen verwendet, um sie auf vier Schwachstellen zu untersuchen, um die Nutzlast zu injizieren – MVPower DVR Shell unauthentifizierter RCE Netgear DGN1000 Setup.cgi unauthentifizierter RCE CCTV DVR RCE, der mehrere Hersteller betrifft, und Realtek SDK miniigd SOAP-Befehlsausführung (CVE-2014-8361)

“Die Verbreitung von ZHtrap nutzt vier N-Day-Schwachstellen, die Hauptfunktion ist DDoS und Scannen, während einige Backdoor-Funktionen integriert werden”, so die Forscher. “Zhtrap richtet einen Honeypot auf dem infizierten Gerät ein, [and] erstellt Schnappschüsse für die Opfergeräte und deaktiviert die Ausführung neuer Befehle auf Basis des Schnappschusses, um so Exklusivität über das Gerät zu erlangen.”

[Blocked Image: https://thehackernews.com/images/-Uzpn4VdFyoE/YFCEwPNpN2I/AAAAAAAACCk/OLQNFZXfk90IMbMQYZNw8YzlN-g5YeszgCLcBGAsYHQ/s0/botnet-malware.jpg]

Sobald es die Geräte übernommen hat, nutzt ZHtrap nach dem Vorbild des Matryosh-Botnets Tor für die Kommunikation mit einem Command-and-Control-Server, um zusätzliche Nutzdaten herunterzuladen und auszuführen.

Unter Hinweis darauf, dass die Angriffe ab dem 28. Februar 2021 begannen, sagten die Forscher, dass die Fähigkeit von ZHtrap, infizierte Geräte in Honeypots zu verwandeln, eine “interessante” Weiterentwicklung von Botnets darstellt, die es erleichtert, mehr Ziele zu finden.

“Viele Botnets implementieren eine wurmähnliche Scan-Propagation, und wenn auf den Honeypot-Port von ZHtrap zugegriffen wird, ist die Quelle höchstwahrscheinlich ein Gerät, das von einem anderen Botnet infiziert wurde”, spekulierten die Forscher über die Autoren der Malware. “Dieses Gerät kann infiziert sein, es muss Schwachstellen geben, ich kann meinen Scan-Mechanismus verwenden, um erneut zu scannen. Das könnte eine gute Chance sein, dass ich meine Bot-Samples implantieren kann, und dann kann ich mit der Prozesssteuerungsfunktion die totale Kontrolle haben, ist das nicht genial?”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com