Neues Mirai-inspiriertes Botnet könnte Ihre KGUARD-DVRs für Cyber-Attacken nutzen

  • Cybersecurity-Forscher enthüllten am Donnerstag Details über ein neues Mirai-inspiriertes Botnetz namens “mirai_ptea”, das eine nicht veröffentlichte Schwachstelle in digitalen Videorekordern (DVR) von KGUARD ausnutzt, um sich zu verbreiten und DDoS-Attacken (Distributed Denial-of-Service) auszuführen.

    Die chinesische Sicherheitsfirma Netlab 360 hat am 23. März 2021 die erste Untersuchung der Schwachstelle durchgeführt, bevor sie am 22. Juni 2021 aktive Ausnutzungsversuche durch das Botnetz entdeckte.

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    Das Mirai-Botnet wurde seit seinem Auftauchen im Jahr 2016 mit einer Reihe von groß angelegten DDoS-Angriffen in Verbindung gebracht, darunter einer gegen den DNS-Dienstleister Dyn im Oktober 2016, wodurch wichtige Internetplattformen und -dienste für Benutzer in Europa und Nordamerika unzugänglich blieben.

    Seitdem sind zahlreiche Varianten von Mirai aufgetaucht, was zum Teil auf die Verfügbarkeit des Quellcodes im Internet zurückzuführen ist. Mirai_ptea ist da keine Ausnahme.

    [Blocked Image: https://thehackernews.com/images/-Xk5mqcUXRV0/YN8Kp7FCoRI/AAAAAAAADEs/C8NfzuAhg7gcyhHP1LcTYsNvj4lsjF1YgCLcBGAsYHQ/s728-e1000/code.jpg]

    Es wurde nicht viel über die Sicherheitslücke bekannt gegeben, um eine weitere Ausnutzung zu verhindern, aber die Forscher sagten, dass die KGUARD DVR-Firmware vor 2017 anfälligen Code hatte, der die Remote-Ausführung von Systembefehlen ohne Authentifizierung ermöglichte. Mindestens ca. 3.000 online ausgestellte Geräte sind anfällig für die Sicherheitslücke.

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    Neben der Verwendung von Tor Proxy zur Kommunikation mit dem Command-and-Control (C2)-Server ergab eine Analyse des mirai_ptea-Beispiels eine umfangreiche Verschlüsselung aller sensiblen Ressourceninformationen, die entschlüsselt werden, um eine Verbindung mit dem C2-Server herzustellen und Angriffsbefehle zur Ausführung abzurufen, einschließlich des Startens von DDoS-Angriffen.

    “Die geografische Verteilung der Bot-Quell-IPs ist […] hauptsächlich auf die USA, Korea und Brasilien konzentriert”, so die Forscher. Daneben wurden Infektionen in Europa, Asien, Australien, Nord- und Südamerika sowie in Teilen Afrikas gemeldet.

    Sie fanden diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com