Um novo malware baseado no Mirai, chamado "ShadowV2", foi identificado atacando dispositivos IoT de fabricantes como D-Link e TP-Link, explorando vulnerabilidades já conhecidas.
Pesquisadores do FortiGuard Labs, da Fortinet, detectaram a atividade durante a grande interrupção dos serviços da AWS em outubro.
Embora não haja ligação direta entre os incidentes, o botnet ficou ativo apenas durante o período da falha, o que sugere que pode ter sido um teste.
O ShadowV2 se espalha explorando pelo menos oito falhas em diferentes produtos IoT:
- DD-WRT (
CVE-2009-2765
)
- D-Link (
CVE-2020-25506
,
CVE-2022-37055
,
CVE-2024-10914
,
CVE-2024-10915
)
- DigiEver (
CVE-2023-52163
)
- TBK (
CVE-2024-3721
)
- TP-Link (
CVE-2024-53375
)
Destaca-se a
CVE-2024-10914
, uma vulnerabilidade de command injection já explorada que afeta dispositivos D-Link fora de linha (EoL), que o fabricante declarou não irá corrigir.
Quanto à
CVE-2024-10915
, relatada pela NetSecFish em novembro de 2024, inicialmente a D-Link não se manifestou oficialmente.
Após questionamentos da imprensa especializada, a empresa confirmou que não lançará correção para os modelos afetados.
A D-Link atualizou um boletim antigo, incluindo essa CVE, e publicou um novo comunicado relacionado à campanha ShadowV2, alertando que dispositivos sem suporte não receberão mais atualizações de firmware.
Já a
CVE-2024-53375
, detalhada em novembro de 2024, teria sido corrigida por meio de uma atualização beta de firmware.
Segundo os pesquisadores do FortiGuard Labs, os ataques do ShadowV2 partiram do IP 198.199.72.27, focando em roteadores, dispositivos NAS e DVRs de sete setores, incluindo governo, tecnologia, manufatura, provedores de serviços de segurança gerenciada (MSSPs), telecomunicações e educação.
O impacto foi global, com ataques registrados nas Américas, Europa, África, Ásia e Austrália.
O malware se identifica como "ShadowV2 Build v1.0.0 IoT version" e é semelhante à variante Mirai LZRD, segundo relatório que detalha seu funcionamento técnico.
A infecção começa com um estágio inicial de acesso usando um script downloader (binary.sh), que baixa o malware de um servidor com IP 81.88.18.108.
O ShadowV2 utiliza uma configuração codificada em XOR para caminhos do sistema de arquivos, strings User-Agent, cabeçalhos HTTP e strings no estilo Mirai.
Funcionalmente, suporta ataques de DDoS distribuídos (UDP, TCP e HTTP), com diversos tipos de flood para cada protocolo.
A infraestrutura de comando e controle (C2) orquestra os ataques enviando comandos aos bots.
Normalmente, botnets usados em ataques DDoS geram renda alugando seu poder a criminosos ou extorquindo as vítimas, cobrando para cessar os ataques.
Até o momento, os responsáveis pelo ShadowV2 e sua estratégia de monetização são desconhecidos.
A Fortinet divulgou indicadores de compromisso (IoCs) para auxiliar na identificação dessa ameaça emergente e reforça a importância de manter o firmware dos dispositivos IoT sempre atualizado.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...