Nuovi rapporti sulla sicurezza indicano l'emergere di nuove botnet Mirai che sfruttano vulnerabilità specifiche per prendere di mira i dispositivi IoT.
Gli attacchi sono in corso, cercando di scaricare uno script di shell dannoso con ulteriori esiti di infezione, come l'esecuzione di varianti Mirai e componenti di attacco a forza bruta.
Nuova variante Mirai che sfrutta diversi exploit
Nel mese di febbraio, Unità di Palo Alto 42 i ricercatori hanno scoperto attacchi che sfruttano una serie di vulnerabilità:
VisualDoor (un SonicWall Exploit SSL-VPN). https://sensorstechforum.com/sonicwall-zero-day/
CVE-2020-25506 (un D-Link Exploit del firewall DNS-320).
CVE-2020-26919 (un Netgear Exploit ProSAFE Plus).
Forse CVE-2019-19356 (un exploit del router wireless Netis WF2419).
Altre tre vulnerabilità IoT ancora da identificare.
Precedentemente, Mirai e le sue varianti hanno sfruttato altre vulnerabilità. Un esempio è la vulnerabilità CVE-2020-5902. La prima rivelazione del difetto è avvenuta nella prima settimana di luglio 2020, chiedendo ai tecnici di rete e agli amministratori della sicurezza di controllare i propri sistemi e vedere se erano vulnerabili.
Tuttavia, l'avviso pubblicato ha consentito agli hacker di computer di acquisire conoscenze sul problema e di includere il codice di exploit pertinente nel modulo di infiltrazione della botnet Mirai. In aggiunta, il difetto è stato aggiunto al motore di ricerca Shodan che ha permesso a chiunque di eseguire la scansione di reti vulnerabili e host di rete esposti.
A marzo 2019, un'altra variante Mirai si rivolgeva specificamente ai dispositivi aziendali integrati come i dispositivi del sistema di presentazione, sistemi di sorveglianza e dispositivi di archiviazione di rete. Questo sviluppo ha indicato "un potenziale cambiamento per l'utilizzo di Mirai per le imprese mirate", secondo il rapporto dell'Unità 42 di Palo Alto Networks.
Anche la botnet Zhtrap è stata rilevata in natura
È interessante notare che Mirai non è l'unica botnet IoT attualmente diffusa in natura. Netlab 360 ricercatori di sicurezza hanno segnalato la scoperta di una nuova botnet basata su Mirai nota come Zhtrap. La botnet utilizza un honeypot per trovare nuovi obiettivi, e si basa su funzionalità prese dalla botnet Matryosh DDoS.
Cosa ha fatto Netlab 360 i ricercatori di sicurezza dicono di Zhtrap?
“La propagazione di ZHtrap utilizza quattro vulnerabilità di N giorni, la funzione principale è DDoS e scansione, mentre integra alcune funzionalità di backdoor. Zhtrap imposta un honeypot sul dispositivo infetto, [e] scatta istantanee per i dispositivi della vittima, e disabilita l'esecuzione di nuovi comandi basati sullo snapshot, ottenendo così l'esclusività sul dispositivo,” il rapporto ha rivelato.