Een nieuwe Mirai-botnetvariant, bekend als V3G4, wordt door aanvallers gebruikt om Internet of Things-apparaten en op Linux gebaseerde servers aan te vallen.
Een nieuw Mirai-botnet wordt gebruikt bij verschillende aanvallen
Op 15 februari 2023 publiceerden beveiligingsonderzoekers van Unit42 van Palo Alto Networks een advies over een nieuwe Mirai-botnetvariant, genaamd "V3G4". In de Unit42 bericht, werden lezers gewaarschuwd dat verschillende campagnes de botnet-malware hebben gebruikt om exploits uit te voeren, die werden gevolgd tussen juli en december 2022.
In totaal slaagde de kwaadwillende operator erin om 13 beveiligingskwetsbaarheden te misbruiken, die allemaal de uitvoering van externe code mogelijk konden maken om een botnet te creëren. Unit42 schreef in zijn advies dat, bij het uitvoeren van code op afstand, "de hulpprogramma's wget en curl automatisch worden uitgevoerd uitgevoerd om Mirai-clientvoorbeelden van de malware-infrastructuur te downloaden en vervolgens de gedownloade bot uit te voeren klanten."
Unit42 informeerde de lezers ook dat dezelfde dreigingsactor vermoedelijk achter elke aanval zit. Bovendien gebruikte de bedreigingsactor een racistische smet in de aanval, die werd gecensureerd in het advies. Op het moment van schrijven is er geen kwaadaardige service gekoppeld aan de reeks aanvallen.
Linux-servers en IoT-apparaten zijn het doelwit
Deze nieuwe Mirai-variant is gebruikt om IoT-apparaten en op Linux gebaseerde servers te exploiteren. In het bovengenoemde advies schreef Unit42 dat V3G4 "zich richt op blootgestelde servers en netwerkapparaten met Linux", terwijl het ook mikt op IoT-apparaten om "verdere aanvallen uit te voeren, zoals gedistribueerde denial-of-service (DDoS)-aanvallen."
Unit42 schreef ook dat "zodra de client een verbinding met de C2-server tot stand heeft gebracht, de bedreigingsactor opdrachten aan de client kan geven om DDoS-aanvallen uit te voeren." Botnets zijn vaak gebruikt bij DDoS-aanvallen om de typische stroom online verkeer van een server of website te verstoren. Hierdoor kan de server of site crashen, waardoor deze tijdelijk niet toegankelijk is voor gewone gebruikers.
Mirai-malware vormt al jaren een bedreiging
Mirai-botnetvarianten zijn in het verleden talloze keren gebruikt om kwaadaardige aanvallen uit te voeren sinds de opkomst van het eerste Mirai-programma in 2016.
Veel bekende platforms zijn het doelwit van Mirai-botnets, waaronder Minecraft, Amazon, Netflix en PayPal. Het lijdt geen twijfel dat deze familie van malware een enorm risico vormt voor online services.
Botnets zijn gevaarlijke maar effectieve aanvalsvectoren
Het creëren van een netwerk van zombie-apparaten om kwaadaardige exploits uit te voeren, is een geavanceerde maar zeer zorgwekkende methode die tegenwoordig door cybercriminelen wordt gebruikt, vooral bij DDoS-aanvallen. We zullen in de toekomst zeker meer soorten botnet-malware zien opduiken, mogelijk van de makers van Mirai.
