Dark Mirai Botnet riktar sig till TP-LINK TL-24840N-routrar

The Dark Mirai Botnet är en av många varianter av Mirai Botnet, som har varit ett hot mot IoT-enheter under de senaste fem åren. Även om det ursprungliga projektet har varit död under en lång tid, fortsätter den allmänt tillgängliga källkoden att användas av skadlig programvara. The Dark Mirai Botnet är bara ett av många projekt som gör detta.

Detta botnät är specialiserat på DDoS-attacker (distributed-denial-of-service) och det har nyligen lagt till en ny exploatering till sin samling av attacktekniker. Denna speciella sårbarhet påverkar en TP-LINK-router, som släpptes 2017 – TL-WR840N EU V5. Sårbarheten är redan åtgärdad i den senaste firmwareuppdateringen för hårdvaran, men tyvärr kör många användare fortfarande en föråldrad version.

Sårbarheten, klassificerad som CVE-2021-41653, tillåter fjärrkörning av kod för autentiserade användare. Brottslingarna använder det för att köra ett bash-skript, som skulle ladda ner den slutliga nyttolasten. Utöver detta gör skriptet modifieringar av routerns konfiguration för att blockera specifika portar och förhindrar därför andra botnät från att infektera den. Det är viktigt att tillägga att Dark Mirai Botnet endast kan ta över enheter som använder standardinloggningsuppgifterna – denna sårbarhet är oanvändbar utan administratörsuppgifter.

När implantatet väl är igång kan brottslingarna fjärrstyra det och beordra det att utföra en DDoS-attack. Det verkar som att Dark Mirai Botnet inte har någon annan användning, och brottslingarna använder det uteslutande för att ta tjänster och webbplatser offline. Att skydda dina enheter från Dark Mirai Botnet och liknande hot kan göras genom att använda den senaste tillgängliga firmware och välja ett säkert lösenord för alla konton med eskalerade privilegier.