Mirai Botnet-variant utnytter fire-trosruterfeil for å slippe løs DDoS-angrep

Som en sterk påminnelse om de økende farene som botnett utgjør, har en ny Mirai-variant utnyttet sårbarheter i Four-Faith industrielle rutere siden begynnelsen av november 2024. Dette siste botnettet, kalt "gayfemboy" (et begrep som stammer fra dets støtende kildekodereferanser) , fremhever den vedvarende trusselen om distribuert denial-of-service (DDoS)-angrep og understreker behovet for robuste cybersikkerhetsforsvar.

Med 15 000 daglige aktive IP-er spredt over regioner som Kina, Iran, Russland, Tyrkia og USA, har dette botnettet skalert til ødeleggende proporsjoner. Dens evne til å utnytte både nulldagssårbarheter og en vaskeliste med over 20 kjente sikkerhetsfeil er en vekker for både bedrifter og individuelle brukere.

Det utnyttede sikkerhetsproblemet: CVE-2024-12856

Kjernen i botnettets nylige kampanje er CVE-2024-12856, en kommandoinjeksjonssårbarhet som påvirker Four-Faith-rutermodellene F3x24 og F3x36. Feilen, som har en CVSS-score på 7,2, lar angripere utnytte rutere konfigurert med uendret standardlegitimasjon.

Siden det ble oppdaget i november 2024, har dette sikkerhetsproblemet blitt aktivt utnyttet for å levere skadelige nyttelaster, inkludert omvendte skall og en Mirai-basert malware-variant. Ved å målrette industrielle rutere kan angripere utnytte høyt tilkoblede enheter , og forsterke deres botnetts rekkevidde og effektivitet.

En flerstrenget angrepsstrategi

Mirai-varianten bruker en kombinasjon av taktikker for å infisere enheter og maksimere effekten:

  1. Innledende tilgang via svak legitimasjon
    Botnettet skanner etter enheter med svak Telnet-legitimasjon eller fabrikkinnstillinger, et vanlig sikkerhetstilsyn i mange IoT- og industrielle systemer.
  2. Utnytter en lang liste over sårbarheter
    Utover CVE-2024-12856, utnytter botnettet over 20 ekstra sårbarheter, inkludert feil som dateres tilbake til 2013, for eksempel:
    • CVE-2013-3307
    • CVE-2016-20016
    • CVE-2021-35394
  3. Mirai-baserte skadelige programmer
    Når den er distribuert, tar skadelig programvare i bruk teknikker for å:
    • Skjul ondsinnede prosesser.
    • Utfør kommandoer for å finne nye sårbare enheter.
    • Oppdater kontinuerlig nyttelasten for skadelig programvare.
    • Start målrettede DDoS-angrep.

Angrepenes omfang og virkning

Botnettet har orkestrert daglige DDoS-angrep på hundrevis av mål, og har oppnådd båndbreddetopper på 100 Gbps. Selv om disse angrepene ofte varer i bare 10 til 30 sekunder, kan den plutselige tilstrømningen av trafikk overvelde servere, forstyrre tjenester og påføre betydelig skade.

Spesielt i oktober og november 2024 så en økning i botnett-aktivitet, med skadelig programvare som aggressivt skannede etter og kompromitterte enheter.

The Broader Botnet-trussel

Denne siste Mirai-varianten er en del av en større trend med nettkriminelle som utnytter sårbarheter i IoT og industrielle enheter for å bygge botnett . Lignende kampanjer inkluderer:

  • Juniper Networks Advarsel : Ondsinnede aktører som retter seg mot Session Smart Router-produkter (SSR) med standardpassord for å spre Mirai malware.
  • Akamai-rapport : Mirai-infeksjoner som våpner fjernkontroll av kodeutførelsesfeil i DigiEver DVR-er.

Disse hendelsene gjenspeiler en urovekkende virkelighet: ettersom enhetene forblir feilkonfigurert eller uoppdatert, vil angripere fortsette å utnytte dem til å utvide botnett-hærene sine.

Slik beskytter du deg mot Mirai-botnett og DDoS-angrep

Gitt den vedvarende og utviklende trusselen fra Mirai-baserte botnett, er det avgjørende for organisasjoner og brukere å ta i bruk omfattende sikkerhetstiltak:

  1. Endre standard påloggingsinformasjon
    Bytt ut fabrikkstandardpassord på alle enheter med sterk, unik legitimasjon.
  2. Oppdater og oppdater enheter regelmessig
    Hold ruterens fastvare og programvare oppdatert for å redusere kjente sårbarheter som CVE-2024-12856.
  3. Implementer nettverkssegmentering
    Isoler IoT og industrielle enheter fra kritiske nettverk for å begrense sideveis bevegelse.
  4. Overvåk for uvanlig trafikk
    Bruk inntrengningsdeteksjonssystemer (IDS) og anomalibaserte overvåkingsverktøy for å oppdage uvanlige trafikkmønstre som indikerer DDoS-aktivitet.
  5. Distribuer Anti-DDoS-løsninger
    Skybasert DDoS-beskyttelse kan absorbere og dempe angrep med høy båndbredde før de når nettverket ditt.
  6. Begrens Telnet og fjerntilgang
    Deaktiver Telnet-tilgang og begrens grensesnitt for ekstern administrasjon til bare pålitelige IP-er.

DDoS-trusler utvikler seg

Den siste Mirai botnett-varianten er mer enn bare en annen skadelig programvarestamme – den er en forkynner for den økende sofistikeringen av DDoS-trusler. Ved å utnytte sårbarheter i industrielle rutere og IoT-enheter, skaper angripere botnett med større rekkevidde og ødeleggende potensial.

For å ligge i forkant av disse truslene, må organisasjoner og enkeltpersoner være årvåkne, sikre enhetene sine og ta i bruk proaktive nettsikkerhetspraksis. Som denne kampanjen viser, kan selv tilsynelatende mindre sårbarheter ha en massiv innvirkning hvis de ikke blir løst.

Innen Zane
January 10, 2025
Computer Security
Norsk
January 10, 2025
Computer Security

Populære innlegg

Hva er OperaGXSetup.exe-filen og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne popup-vinduer er...

12 days siden

Legg merke til: Noen la deg til som sin...

10 months siden

HackTool:Win32/Crack: en ondsinnet trussel som kan alvorlig...

7 months siden

En potensielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hva er trusselen om den trojanske hesten fra Packunwan og...

11 months siden
Norsk
Laster ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.