A campanha, activa desde pelo menos Setembro, tira partido de uma falha de execução remota (RCE) nos dispositivos DigiEver, bem como de outras vulnerabilidades conhecidas, como a CVE-2023-1389 nos routers TP-Link e a CVE-2018-17532 nos routers Teltonika RUT9XX.
Os investigadores da Akamai relatam que a botnet utiliza a falha RCE para comprometer os NVRs DigiEver através do URI /cgi-bin/cgi_main.cgi, permitindo aos hackers injectar comandos maliciosos. Após a infecção, os dispositivos descarregam malware de servidores externos e tornam-se parte da botnet, permitindo ataques de negação de serviço distribuídos (DDoS) e contribuindo para infectar novos dispositivos. A persistência é alcançada através da criação de tarefas cron nos sistemas comprometidos.
Este variante do Mirai destaca-se pelo uso de encriptação XOR e ChaCha20, bem como pelo suporte para múltiplas arquitecturas, como x86, ARM e MIPS. A recomendação é a de actualizar o firmware dos dispositivos afectados e monitorizar a actividade na rede para detectar tráfego suspeito.
Cuidado! Equipamento TENDA também está vulnerável a esse ataque!
ResponderEliminar