Mirai Botnet-variant maakt misbruik van Four-Faith-routerfout om DDoS-aanvallen uit te voeren

Als een harde herinnering aan de groeiende gevaren van botnets, maakt een nieuwe Mirai-variant sinds begin november 2024 misbruik van kwetsbaarheden in industriële routers van Four-Faith. Dit nieuwste botnet, genaamd "gayfemboy" (een term die is afgeleid van de aanstootgevende broncodeverwijzingen), benadrukt de aanhoudende dreiging van distributed denial-of-service (DDoS)-aanvallen en onderstreept de noodzaak van robuuste cyberbeveiligingsverdedigingen.

Met 15.000 dagelijks actieve IP's verspreid over regio's als China, Iran, Rusland, Turkije en de VS, is dit botnet uitgegroeid tot verwoestende proporties. Het vermogen om zowel zero-day kwetsbaarheden als een waslijst van meer dan 20 bekende beveiligingslekken te benutten, is een wake-up call voor zowel ondernemingen als individuele gebruikers.

De uitgebuite kwetsbaarheid: CVE-2024-12856

De kern van de recente campagne van het botnet is CVE-2024-12856, een kwetsbaarheid voor command injection die Four-Faith routermodellen F3x24 en F3x36 treft. De fout, die een CVSS-score van 7,2 heeft, stelt aanvallers in staat om routers te exploiteren die zijn geconfigureerd met ongewijzigde standaardreferenties.

Sinds de ontdekking in november 2024 wordt deze kwetsbaarheid actief uitgebuit om kwaadaardige payloads te leveren, waaronder reverse shells en een op Mirai gebaseerde malwarevariant. Door industriële routers aan te vallen, kunnen aanvallers gebruikmaken van sterk verbonden apparaten , waardoor het bereik en de effectiviteit van hun botnet worden vergroot.

Een meervoudige aanvalsstrategie

De Mirai-variant maakt gebruik van een combinatie van tactieken om apparaten te infecteren en de impact ervan te maximaliseren:

  1. Initiële toegang via zwakke inloggegevens
    Het botnet scant op apparaten met zwakke Telnet-inloggegevens of fabrieksinstellingen, een veelvoorkomend beveiligingsprobleem in veel IoT- en industriële systemen.
  2. Exploiteren van een lange lijst met kwetsbaarheden
    Naast CVE-2024-12856 maakt het botnet gebruik van ruim 20 extra kwetsbaarheden, waaronder fouten die teruggaan tot 2013, zoals:
    • CVE-2013-3307
    • CVE-2016-20016
    • CVE-2021-35394
  3. Mirai-gebaseerde malwaremogelijkheden
    Zodra de malware is geïnstalleerd, maakt deze gebruik van technieken om:
    • Verberg kwaadaardige processen.
    • Voer opdrachten uit om nieuwe kwetsbare apparaten te lokaliseren.
    • Zorgt ervoor dat de malware-payload voortdurend wordt bijgewerkt.
    • Lanceer gerichte DDoS-aanvallen.

De omvang en impact van de aanvallen

Het botnet heeft dagelijkse DDoS-aanvallen op honderden doelen georkestreerd, waarbij bandbreedtepieken van 100 Gbps werden bereikt. Hoewel deze aanvallen vaak slechts 10 tot 30 seconden duren, kan de plotselinge toestroom van verkeer servers overbelasten, services verstoren en aanzienlijke schade aanrichten.

Opvallend is dat er in oktober en november 2024 een toename in botnetactiviteit was, waarbij de malware agressief apparaten scande en in gevaar bracht.

De bredere botnet-dreiging

Deze nieuwste Mirai-variant is onderdeel van een grotere trend waarbij cybercriminelen kwetsbaarheden in IoT en industriële apparaten misbruiken om botnets te bouwen . Vergelijkbare campagnes zijn onder andere:

  • Waarschuwing van Juniper Networks : Kwaadwillende actoren richten zich op Session Smart Router (SSR)-producten met standaardwachtwoorden om Mirai-malware te verspreiden.
  • Akamai-rapport : Mirai-infecties maken gebruik van fouten in de uitvoering van code op afstand in DigiEver DVR's.

Deze incidenten weerspiegelen een verontrustende realiteit: naarmate apparaten verkeerd geconfigureerd of niet gepatcht blijven, zullen aanvallers deze blijven misbruiken om hun botnetleger uit te breiden.

Hoe u zich kunt beschermen tegen Mirai-botnets en DDoS-aanvallen

Gezien de aanhoudende en evoluerende dreiging van op Mirai gebaseerde botnets, is het van cruciaal belang dat organisaties en gebruikers uitgebreide beveiligingsmaatregelen nemen:

  1. Standaardreferenties wijzigen
    Vervang de standaard fabriekswachtwoorden op alle apparaten door sterke, unieke wachtwoorden.
  2. Apparaten regelmatig patchen en updaten
    Zorg ervoor dat de firmware en software van uw router up-to-date zijn om bekende kwetsbaarheden zoals CVE-2024-12856 te beperken.
  3. Netwerksegmentatie implementeren
    Isoleer IoT- en industriële apparaten van kritieke netwerken om laterale verplaatsing te beperken.
  4. Monitor voor ongebruikelijk verkeer
    Gebruik intrusion detection systems (IDS) en anomaliegebaseerde monitoringtools om ongebruikelijke verkeerspatronen te detecteren die kunnen wijzen op DDoS-activiteit.
  5. Implementeer anti-DDoS-oplossingen
    Cloudgebaseerde DDoS-beveiliging kan aanvallen met een hoge bandbreedte absorberen en beperken voordat ze uw netwerk bereiken.
  6. Beperk Telnet en externe toegang
    Schakel Telnet-toegang uit en beperk interfaces voor extern beheer tot vertrouwde IP's.

DDoS-bedreigingen evolueren

De nieuwste Mirai-botnetvariant is meer dan zomaar een malwarestam: het is een voorbode van de toenemende verfijning van DDoS-bedreigingen. Door kwetsbaarheden in industriële routers en IoT-apparaten te exploiteren, creëren aanvallers botnets met een groter bereik en destructief potentieel.

Om deze bedreigingen voor te blijven, moeten organisaties en individuen waakzaam blijven, hun apparaten beveiligen en proactieve cybersecuritypraktijken toepassen. Zoals deze campagne aantoont, kunnen zelfs ogenschijnlijk kleine kwetsbaarheden een enorme impact hebben als ze niet worden aangepakt.

Tegen Zane
January 10, 2025
Computer Security
Nederlands
January 10, 2025
Computer Security

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.