Специалисты по кибербезопасности компании Akamai выявили новую модификацию печально известного ботнета Mirai, который активно эксплуатирует критическую уязвимость в цифровых видеорегистраторах DigiEver DS-2105 Pro и атакует маршрутизаторы TP-Link с устаревшими прошивками. Масштабная вредоносная кампания началась в октябре 2023 года и продолжает набирать обороты.
Технические детали атаки
Основной вектор атаки направлен на эксплуатацию уязвимости удаленного выполнения кода (RCE) в DVR-устройствах DigiEver через компонент /cgi-bin/cgi_main.cgi. Критическая уязвимость позволяет неавторизованным злоумышленникам выполнять произвольные команды, включая curl и chmod, используя специально сформированные HTTP POST-запросы с манипуляцией параметра ntp.
Векторы распространения и функционал
Помимо атак на DigiEver, вредоносное ПО нацелено на эксплуатацию уязвимостей CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 в маршрутизаторах Teltonika RUT9XX. После успешной компрометации устройства злоумышленники загружают вредоносный код и встраивают его в систему через создание cron-заданий, обеспечивая постоянное присутствие в инфицированной системе.
Технические особенности нового варианта Mirai
Данная модификация ботнета отличается использованием продвинутых методов шифрования, включая XOR и ChaCha20, что затрудняет его обнаружение. Вредоносное ПО демонстрирует широкую совместимость с различными аппаратными архитектурами, включая x86, ARM и MIPS, что существенно расширяет потенциальную базу целевых устройств.
Последствия и угрозы
Скомпрометированные устройства активно используются злоумышленниками для проведения распределенных атак типа «отказ в обслуживании» (DDoS) и дальнейшего распространения инфекции. Ботнет использует заранее подготовленные наборы эксплоитов и базы скомпрометированных учетных данных для автоматизированного заражения новых устройств.
Специалисты по информационной безопасности настоятельно рекомендуют владельцам устройств DigiEver, TP-Link и Teltonika регулярно обновлять программное обеспечение, использовать сложные пароли и ограничивать доступ к административным интерфейсам устройств из внешних сетей. Своевременное применение этих мер значительно снижает риск компрометации оборудования и его использования в составе вредоносной ботнет-сети.
