Ein Forscherteam der Threat Research Unit von Qualys warnt vor einer neuen Mirai-Botnet-Variante, die Schwachstellen in Avtech-Kameras und Huawei-HG523-Routern ausnutzt. Insbesondere sind Geräte in Ländern wie Malaysia, Thailand, Mexiko und Indonesien betroffen.
Die Variante, die den Namen „Murdoc-Botnet“ trägt, wurde erstmals im Juli entdeckt und hat bereits mindestens 1.300 Geräte weltweit befallen, darunter vor allem die genannten Länder. Wie bei allen Mirai-Varianten besteht die Idee darin, so viele Geräte wie möglich zu infizieren, um neue, umfangreiche Botnet-Netzwerke zu schaffen.
Murdoc-Botnet verwendet laut des Qualys-Forscherteams eine Kombination aus ELF-Dateien und Shell-Skripte, um Geräte zu infiltrieren. Die Skripte nutzen Schwachstellen wie CVE-2024-7029 und CVE-2017-17215 aus, um Malware-Nutzlasten zu verteilen und dauerhafte Verbindungen mit Command-and-Control-Servern herzustellen.
Die Infrastruktur umfasst über 100 verschiedene Befehls- und Steuerungsserver, von denen jeder für die Verwaltung und Verbreitung von Malware auf kompromittierten Geräten verantwortlich ist. Die Server kommunizieren mit infizierten Geräten, um Aktivitäten wie die Ausführung von Nutzlasten, weitere Infektionen und die Erweiterung des Botnetzes zu koordinieren.
Das Murdoc-Botnet bevorzugt IoT-Geräte, insbesondere Avtech-Kameras und Huawei-Router. Es zielt auf diese Geräte ab, da bekannt ist, dass sie Schwachstellen aufweisen, die wahrscheinlich nicht gepatcht werden, und so die Erweiterung des Netzwerkes durch einen stetigen Strom weiterer Opfer sicherstellt.
Die Malware verbreitet sich durch die Ausführung von Bash-Skripten, die Nutzlasten abrufen und ausführen. Die Skripte sind auch so konzipiert, dass sie nach der Ausführung Spuren ihrer Aktivität entfernen. Dies macht es für Sicherheitstools schwieriger, die Bedrohung zu erkennen und auch zu entschärfen.
Die Forscher begannen zunächst mit der Entdeckung und Analyse der Murdoc-Botnet-Binärdateien, die für DDOS-Aktivitäten verwendet wurden. Mithilfe von Qualys-EDR, Bedrohungsdaten und Open-Source-Informationen (OSINT) konnte das Murdoc-Botnet als Mirai-Variante identifiziert werden.
Die Qualys-Forscher empfehlen Unternehmen, sich um die Erkennung und den Schutz vor solchen Angriffen zu bemühen:
Zu den Maßnahmen, die von Qualys empfohlen werden, gehören die Überwachung auf verdächtige Prozesse, Ereignisse und Netzwerkverkehr, die durch die Ausführung nicht vertrauenswürdiger Binärdateien und Skripte verursacht werden. Administratoren und Nutzer sollten bei der Ausführung von Shell-Skripten aus unbekannten oder nicht vertrauenswürdigen Quellen vorsichtig sein. Administratoren wird empfohlen, Systeme und Firmware mit den neuesten Versionen und Patches auf dem neuesten Stand zu halten.
Info: Weitere Details finden sich hier: https://blog.qualys.com/vulnerabilities-threat-research/2025/01/21/mass-campaign-of-murdoc-botnet-mirai-a-new-variant-of-corona-mirai
#Qualys