Cybersicherheitsexperten von Akamai haben eine besorgniserregende Entwicklung aufgedeckt: Eine neue Variante des berüchtigten Mirai-Botnets nutzt aktiv kritische Sicherheitslücken in DigiEver DS-2105 Pro DVR-Systemen und älteren TP-Link Router-Modellen aus. Die seit Oktober 2023 laufende Malware-Kampagne zeigt eine stetig steigende Intensität.
Analyse der technischen Angriffsmethoden
Der Hauptangriffsvektor zielt auf eine Remote Code Execution (RCE) Schwachstelle in DigiEver DVR-Geräten ab. Über den Pfad /cgi-bin/cgi_main.cgi können Angreifer durch manipulierte HTTP POST-Anfragen und Modifikation des NTP-Parameters unauthorisierte Systemkommandos ausführen. Diese Schwachstelle ermöglicht es den Angreifern, kritische Systembefehle wie curl und chmod zu missbrauchen.
Infektionsstrategie und Funktionsumfang
Die Malware erweitert ihr Angriffsspektrum durch die Ausnutzung der Schwachstellen CVE-2023-1389 bei TP-Link Geräten und CVE-2018-17532 in Teltonika RUT9XX Routern. Nach erfolgreicher Kompromittierung implementiert die Malware sich selbst durch Cron-Jobs, wodurch eine dauerhafte Präsenz im System gewährleistet wird.
Innovative Tarnungsmechanismen
Diese Mirai-Variante zeichnet sich durch fortschrittliche Verschlüsselungstechniken aus, darunter XOR und ChaCha20-Algorithmen, die eine Erkennung erheblich erschweren. Die Malware demonstriert bemerkenswerte Vielseitigkeit durch die Unterstützung verschiedener Hardwarearchitekturen wie x86, ARM und MIPS.
Bedrohungspotenzial und Auswirkungen
Infizierte Geräte werden als Plattform für DDoS-Attacken missbraucht und dienen der weiteren Verbreitung der Malware. Das Botnet nutzt vorbereitete Exploit-Kits und kompromittierte Zugangsdaten für die automatisierte Infizierung weiterer Systeme.
Zur Prävention empfehlen Sicherheitsexperten dringend die regelmäßige Aktualisierung der Firmware betroffener Geräte, die Implementierung komplexer Passwörter und die strikte Beschränkung des Zugriffs auf Verwaltungsschnittstellen. Diese grundlegenden Sicherheitsmaßnahmen können das Infektionsrisiko erheblich reduzieren und die Integration in das Botnet-Netzwerk verhindern. Besitzer von DigiEver, TP-Link und Teltonika Geräten sollten umgehend ihre Systeme überprüfen und entsprechende Schutzmaßnahmen implementieren.
