DarkMiraiボットネットはTP-LINKTL-24840Nルーターをターゲットにしています
Dark Miraiボットネットは、過去5年間IoTデバイスに対する脅威となっているMiraiボットネットの多くのバリエーションの1つです。元のプロジェクトは長い間死んでいますが、公開されているソースコードは引き続きマルウェアオペレーターによって使用されています。 Dark Miraiボットネットは、これを行う多くのプロジェクトの1つにすぎません。
このボットネットは分散型サービス拒否(DDoS)攻撃に特化しており、最近、攻撃手法のコレクションに新しいエクスプロイトを追加しました。この特定の脆弱性は、2017年にリリースされたTP-LINKルーター(TL-WR840N EU V5)に影響を及ぼします。この脆弱性は、ハードウェアの最新のファームウェアアップデートですでにパッチが適用されていますが、残念ながら、多くのユーザーはまだ古いバージョンを実行しています。
CVE-2021-41653として分類されるこの脆弱性により、認証されたユーザーがリモートでコードが実行される可能性があります。犯罪者はそれを使用してbashスクリプトを実行し、最終的なペイロードをダウンロードします。これに加えて、スクリプトは特定のポートをブロックするためにルーターの構成を変更し、他のボットネットがルーターに感染するのを防ぎます。 Dark Miraiボットネットは、デフォルトのログインクレデンシャルを使用しているデバイスのみを引き継ぐことができることを追加することが重要です。この脆弱性は、管理者クレデンシャルなしでは使用できません。
インプラントが実行されると、犯罪者はそれをリモートで制御し、DDoS攻撃を実行するように命令できます。 Dark Miraiボットネットは他に用途がなく、犯罪者はサービスやWebサイトをオフラインにするためだけに使用しているようです。 Dark Miraiボットネットや同様の脅威からデバイスを保護するには、利用可能な最新のファームウェアを使用し、昇格された特権を持つすべてのアカウントに安全なパスワードを選択します。