Ботнет Dark Mirai нацелен на маршрутизаторы TP-LINK TL-24840N

Ботнет Dark Mirai - это одна из многих разновидностей ботнета Mirai, которая представляет угрозу для устройств Интернета вещей в течение последних пяти лет. Хотя исходный проект уже давно мертв, общедоступный исходный код продолжает использоваться операторами вредоносных программ. Ботнет Dark Mirai - лишь один из многих проектов, занимающихся этим.

Этот ботнет специализируется на распределенных атаках типа «отказ в обслуживании» (DDoS), и недавно он добавил новый эксплойт в свой набор методов атак. Эта конкретная уязвимость затрагивает маршрутизатор TP-LINK, выпущенный в 2017 году - TL-WR840N EU V5. Уязвимость уже исправлена в последнем обновлении прошивки оборудования, но, к сожалению, многие пользователи все еще используют устаревшую версию.

Уязвимость, классифицированная как CVE-2021-41653, позволяет удаленно выполнять код для аутентифицированных пользователей. Преступники используют его для запуска сценария bash, который загрузит окончательную полезную нагрузку. В дополнение к этому, скрипт вносит изменения в конфигурацию маршрутизатора, чтобы заблокировать определенные порты, таким образом предотвращая его заражение другими ботнетами. Важно добавить, что ботнет Dark Mirai может захватывать только те устройства, которые используют учетные данные для входа по умолчанию - эту уязвимость невозможно использовать без учетных данных администратора.

Когда имплант запущен, злоумышленники могут управлять им удаленно, отдавая команду на выполнение DDoS-атаки. Похоже, что у ботнета Dark Mirai нет другого применения, и преступники используют его исключительно для отключения сервисов и веб-сайтов. Защитить свои устройства от ботнета Dark Mirai и подобных угроз можно с помощью последней доступной прошивки и выбора безопасного пароля для всех учетных записей с повышенными привилегиями.