Sono state individuate tre campagne malevole atte a diffondere una nuova variante del malware Mirai, quella che è stata denominata dai ricercatori V3G4.
In particolare, per la propagazione del malware vengono sfruttate 13 vulnerabilità senza patch identificate in una gamma di dispositivi IoT. Un exploit di successo potrebbe portare all’esecuzione di codice in modalità remota.
Indice degli argomenti
V3G4: nuova variante Mirai per creare una botnet DDoS
I ricercatori di Unit42 hanno esaminato le campagne da luglio a dicembre 2022, rilevando come “le utility wget e curl venivano eseguite automaticamente per scaricare campioni di client Mirai dall’infrastruttura malware e quindi eseguire i client bot scaricati”.
Questa attività ha come obiettivo quello di infettare quanti più dispositivi possibili (PC o IoT), in modo da avere il controllo di una botnet malevola con la quale poter sferrare attacchi di diversa natura, nei quali è importante la potenza di calcolo: forza bruta o DDoS.
In queste ultime campagne, Unit42 ha scoperto che una volta portata a termine l’infezione con la variante V3G4, gli aggressori sono in grado di controllare completamente il dispositivo e la piattaforma in esso contenuta diventa “parte della botnet”. Ciò significa, come detto, che l’attore può utilizzare il dispositivo per condurre ulteriori attacchi, inclusi attacchi DDoS (Distributed Denial of Service).
Un dettaglio rilevante di questa ricerca è proprio il metodo di intrusione utilizzato. Si è visto infatti che vengono sfruttate vulnerabilità ben note per diffondere la variante V3G4 e prendere di mira “server esposti e dispositivi di rete che eseguono Linux”.
Tra i dispositivi presi di mira dalle campagne analizzate, emergono FreePBX Elastix, Gitorious, FRITZ!Box Webcam, Mitel AWC, Geutebruck IP Cameras, Webmin, Spree Commerce, FLIR Thermal Camera, DrayTek Vigor, Airspan AirSpot, Atlassian Confluence e C-Data Web Management System. Inoltre le vulnerabilità sfruttate sono:
- CVE-2012-4869
- CVE-2014-9727
- CVE-2017-5173
- CVE-2019-15107
- CVE-2020-8515
- CVE-2020-15415
- CVE-2022-36267
- CVE-2022-26134
- CVE-2022-4257
- RCE su termocamera FLIR
- RCE su Spree Commerce
- RCE su Mitel AWC
- RCE su Gitorious
Misure di mitigazione
L’unico modo per evitare l’infezione, in difesa a questa importante campagna malware, è l’aggiornamento costante dei prodotti o meglio la chiusura di falle di sicurezza critiche rilevate. Le vulnerabilità sfruttate sono appunto tutte note, sono risolvibili e fixabili anche senza l’attesa dell’aggiornamento da parte dei produttori.
Inoltre, sottoporre a valutazione l’esposizione su Internet dei dispositivi presi di mira, con le caratteristiche appena elencate.
Allo stesso tempo, i ricercatori hanno utilizzato questi risultati per comunicare tempestivamente con i produttori interessati, affinché rilascino patch e aggiornamenti per colmare i gap che le vulnerabilità stanno lasciando in piedi.
Nonostante nell’ultimo mese sia emersa una nuova variante basata su Mirai per distribuire il malware Medusa, in queste campagne non sembrano esserci segnali utili ad effettuarne un’attribuzione diretta.
Mentre, invece le prove forensi hanno rivelato l’uso degli stessi domini di comando e controllo (C2) codificati, downloader di script di shell malware quasi identici e la stessa chiave di decrittazione XOR utilizzata in ciascuna delle tre campagne, associandole pertanto tutte e tre agli stessi attori delle minacce.
