Botnet Mirai ataca roteadores
8 de Janeiro de 2025

Uma variante da botnet Mirai foi encontrada explorando uma falha de segurança recém-divulgada que afeta os roteadores industriais da Four-Faith desde o início de novembro de 2024, com o objetivo de realizar ataques de Distributed Denial-of-Service (DDoS).

A botnet mantém aproximadamente 15.000 endereços IP ativos diariamente, com as infecções principalmente espalhadas pela China, Irã, Rússia, Turquia e Estados Unidos.
Explorando um arsenal de mais de 20 vulnerabilidades de segurança conhecidas e credenciais fracas de Telnet para acesso inicial, o malware é conhecido por estar ativo desde fevereiro de 2024.

A botnet foi apelidada de “gayfemboy” em referência ao termo ofensivo presente no código-fonte.

A QiAnXin XLab disse que observou o malware aproveitando uma vulnerabilidade zero-day em roteadores industriais fabricados pela chinesa Four-Faith para entregar os artefatos já em 9 de novembro de 2024.

A vulnerabilidade em questão é a CVE-2024-12856 (pontuação CVSS: 7.2), que se refere a um bug de injeção de comando em sistema operacional (OS) afetando os modelos de roteador F3x24 e F3x36, aproveitando-se de credenciais padrão não alteradas.

No final do mês passado, a VulnCheck informou que a vulnerabilidade tem sido explorada no mundo real para implantar reverse shells e um payload semelhante a Mirai em dispositivos comprometidos.

Algumas das outras falhas de segurança exploradas pela botnet para estender seu alcance e escala incluem CVE-2013-3307, CVE-2013-7471 , CVE-2014-8361 , CVE-2016-20016 , CVE-2017-17215 , CVE-2017-5259 , CVE-2020-25499 , CVE-2020-9054 , CVE-2021-35394 , CVE-2023-26801 , CVE-2024-8956 e CVE-2024-8957 .

Uma vez lançado, o malware tenta ocultar processos maliciosos e implementa um formato de comando baseado em Mirai para escanear dispositivos vulneráveis, atualizar-se e lançar ataques DDoS contra alvos de interesse.

Ataques DDoS aproveitando a botnet têm como alvo centenas de entidades diferentes diariamente, com a atividade atingindo um novo pico em outubro e novembro de 2024.

Os ataques, durando entre 10 e 30 segundos, geram tráfego em torno de 100 Gbps.
A divulgação ocorre semanas depois de a Juniper Networks alertar que produtos Session Smart Router (SSR) com senhas padrão estão sendo visados por atores maliciosos para implantar o malware da botnet Mirai.

A Akamai também revelou infecções pelo malware Mirai que armam uma falha de execução de código remoto em DVRs da DigiEver.

"DDoS tornou-se uma das formas mais comuns e destrutivas de ataques cibernéticos," disseram pesquisadores da XLab.

Seus modos de ataque são diversos, caminhos de ataque são altamente ocultos, e podem empregar estratégias e técnicas continuamente evoluindo para realizar ataques precisos contra várias indústrias e sistemas, representando uma ameaça significativa para empresas, organizações governamentais e usuários individuais.

O desenvolvimento também ocorre à medida que atores de ameaças estão aproveitando servidores PHP suscetíveis e mal configurados (por exemplo, CVE-2024-4577) para implantar um minerador de criptomoedas chamado PacketCrypt.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...