Uma variante da botnet Mirai foi encontrada explorando uma falha de segurança recém-divulgada que afeta os roteadores industriais da Four-Faith desde o início de novembro de 2024, com o objetivo de realizar ataques de Distributed Denial-of-Service (DDoS).
A botnet mantém aproximadamente 15.000 endereços IP ativos diariamente, com as infecções principalmente espalhadas pela China, Irã, Rússia, Turquia e Estados Unidos.
Explorando um arsenal de mais de 20 vulnerabilidades de segurança conhecidas e credenciais fracas de Telnet para acesso inicial, o malware é conhecido por estar ativo desde fevereiro de 2024.
A botnet foi apelidada de “gayfemboy” em referência ao termo ofensivo presente no código-fonte.
A QiAnXin XLab disse que observou o malware aproveitando uma vulnerabilidade zero-day em roteadores industriais fabricados pela chinesa Four-Faith para entregar os artefatos já em 9 de novembro de 2024.
A vulnerabilidade em questão é a
CVE-2024-12856
(pontuação CVSS: 7.2), que se refere a um bug de injeção de comando em sistema operacional (OS) afetando os modelos de roteador F3x24 e F3x36, aproveitando-se de credenciais padrão não alteradas.
No final do mês passado, a VulnCheck informou que a vulnerabilidade tem sido explorada no mundo real para implantar reverse shells e um payload semelhante a Mirai em dispositivos comprometidos.
Algumas das outras falhas de segurança exploradas pela botnet para estender seu alcance e escala incluem CVE-2013-3307,
CVE-2013-7471
,
CVE-2014-8361
,
CVE-2016-20016
,
CVE-2017-17215
,
CVE-2017-5259
,
CVE-2020-25499
,
CVE-2020-9054
,
CVE-2021-35394
,
CVE-2023-26801
,
CVE-2024-8956
e
CVE-2024-8957
.
Uma vez lançado, o malware tenta ocultar processos maliciosos e implementa um formato de comando baseado em Mirai para escanear dispositivos vulneráveis, atualizar-se e lançar ataques DDoS contra alvos de interesse.
Ataques DDoS aproveitando a botnet têm como alvo centenas de entidades diferentes diariamente, com a atividade atingindo um novo pico em outubro e novembro de 2024.
Os ataques, durando entre 10 e 30 segundos, geram tráfego em torno de 100 Gbps.
A divulgação ocorre semanas depois de a Juniper Networks alertar que produtos Session Smart Router (SSR) com senhas padrão estão sendo visados por atores maliciosos para implantar o malware da botnet Mirai.
A Akamai também revelou infecções pelo malware Mirai que armam uma falha de execução de código remoto em DVRs da DigiEver.
"DDoS tornou-se uma das formas mais comuns e destrutivas de ataques cibernéticos," disseram pesquisadores da XLab.
Seus modos de ataque são diversos, caminhos de ataque são altamente ocultos, e podem empregar estratégias e técnicas continuamente evoluindo para realizar ataques precisos contra várias indústrias e sistemas, representando uma ameaça significativa para empresas, organizações governamentais e usuários individuais.
O desenvolvimento também ocorre à medida que atores de ameaças estão aproveitando servidores PHP suscetíveis e mal configurados (por exemplo, CVE-2024-4577) para implantar um minerador de criptomoedas chamado PacketCrypt.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...