En ny Mirai botnätvariant, känd som V3G4, används av angripare för att rikta in sig på Internet of Things-enheter och Linux-baserade servrar.
Ett nytt Mirai-botnät används i olika attacker
Den 15 februari 2023 publicerade Unit42-säkerhetsforskare på Palo Alto Networks ett råd om en ny Mirai botnätvariant, kallad "V3G4". I den Unit42 post, varnades läsarna för att olika kampanjer har använt skadlig programvara för botnät för att utföra exploateringar, som spårades mellan juli och december 2022.
Sammantaget lyckades den skadliga operatören utnyttja 13 säkerhetsbrister, som alla kunde tillåta fjärrkörning av kod för att skapa ett botnät. Unit42 skrev i sitt råd att, vid fjärrkörning av kod, "wget- och curl-verktygen automatiskt körs för att ladda ner Mirai-klientprover från skadlig programvara och sedan köra den nedladdade boten kunder."
Unit42 informerade också läsarna om att samma hotaktör misstänks ligga bakom varje attack. Dessutom använde hotaktören ett rasistiskt förtal i attacken, som censurerades i rådgivningen. I skrivande stund har ingen skadlig tjänst kopplats till raden av attacker.
Linux-servrar och IoT-enheter har varit inriktade
Denna nya Mirai-variant har använts för att utnyttja IoT-enheter och Linux-baserade servrar. I den tidigare nämnda rådgivningen skrev Unit42 att V3G4 "inriktar sig på exponerade servrar och nätverksenheter som kör Linux", samtidigt som de tar sikte på IoT-enheter, för att "genomföra ytterligare attacker, som t.ex. distribuerade DDoS-attacker (denial-of-service).."
Unit42 skrev också att "när klienten väl etablerat en anslutning till C2-servern kan hotaktören utfärda kommandon till klienten för att starta DDoS-attacker." Botnät är används ofta i DDoS-attacker för att störa en server eller webbplatss typiska ström av onlinetrafik. Detta kan göra att servern eller webbplatsen kraschar, vilket gör den tillfälligt otillgänglig för vanliga användare.
Mirai Malware har varit ett hot i flera år
Mirai botnätvarianter har använts flera gånger tidigare för att starta skadliga attacker sedan uppkomsten av det första Mirai-programmet 2016.
Många välkända plattformar har inriktats med Mirai-botnät, inklusive Minecraft, Amazon, Netflix och PayPal. Det råder ingen tvekan om att denna familj av skadlig programvara utgör en enorm risk för onlinetjänster.
Botnät är farliga men ändå effektiva attackvektorer
Att skapa ett nätverk av zombieenheter för att utföra illvilliga utnyttjande är en sofistikerad men ändå mycket angenäm metod som används av cyberkriminella idag, särskilt vid DDoS-attacker. Vi kommer säkerligen att se fler typer av botnätskadlig kod dyka upp i framtiden, möjligen från Mirais skapare.