Zephyrnet-logo

Miljoenen routers, IoT-apparaten lopen gevaar als broncode van malware op GitHub verschijnt

Datum:

De auteurs van een gevaarlijke malware-sample gericht op miljoenen routers en Internet of Things (IoT)-apparaten hebben de broncode geüpload naar GitHub, wat betekent dat andere criminelen nu snel nieuwe varianten van de tool kunnen starten of deze kunnen gebruiken zoals het is, in hun eigen aanval campagnes.

Onderzoekers van AT&T Alien Labs zagen de malware afgelopen november voor het eerst en noemden het 'BotenaGo'. De malware is geschreven in Go - een programmeertaal die behoorlijk populair is geworden onder malware-auteurs. Het zit boordevol exploits voor meer dan 30 verschillende kwetsbaarheden in producten van meerdere leveranciers, waaronder Linksys, D-Link, Netgear en ZTE.

BotenaGo is ontworpen om externe shell-opdrachten uit te voeren op systemen waarop het met succes een kwetsbaarheid heeft misbruikt. Een analyse die Alien Labs vorig jaar uitvoerde toen het de malware voor het eerst ontdekte, toonde aan dat BotenaGo twee verschillende methoden gebruikte om commando's te ontvangen om slachtoffers te targeten. Een daarvan omvatte twee achterdeurpoorten voor het luisteren naar en ontvangen van de IP-adressen van doelapparaten, en de andere betrof het instellen van een luisteraar op systeem-I/O-gebruikersinvoer en het ontvangen van doelinformatie daardoor.

Onderzoekers van Alien Labs ontdekten dat de malware weliswaar is ontworpen om opdrachten van een externe server te ontvangen, maar geen actieve command-and-control-communicatie heeft. Dit leidde ertoe dat de beveiligingsleverancier destijds vermoedde dat BotenaGo deel uitmaakte van een bredere malwaresuite en waarschijnlijk een van de meerdere tools in een infectieketen. De beveiligingsleverancier ontdekte ook dat de payload-links van BotenaGo vergelijkbaar waren met die van de operators van de beruchte Mirai-botnet-malware. Dit bracht Alien Labs ertoe te theoretiseren dat BotenaGo een nieuwe tool was die de operators van Mirai gebruiken om zich te richten op specifieke machines die hen bekend zijn.

IoT-apparaten en routers Hit
Om onduidelijke redenen heeft de onbekende auteur van de malware onlangs de broncode van BotenaGo openbaar gemaakt via GitHub. De verhuizing zou mogelijk kunnen leiden tot een aanzienlijke toename van BotenaGo-varianten, aangezien andere malware-auteurs de broncode gebruiken en aanpassen voor hun specifieke doeleinden en aanvalscampagnes, zei Alien Labs in een blog deze week. Het bedrijf zei dat het nieuwe voorbeelden van BotenaGo heeft waargenomen die worden gebruikt om Mirai-botnet-malware op IoT-apparaten en routers te verspreiden. Een van BotenaGo's payload-servers staat ook in de lijst met indicatoren van compromis voor de recent ontdekte Log4j-kwetsbaarheden.

De BotenaGo-malware bestaat uit slechts 2,891 regels code, waardoor het een potentieel goed startpunt is voor verschillende nieuwe varianten. Het feit dat het vol zit met exploits voor meer dan 30 kwetsbaarheden in meerdere routers en IoT-apparaten, is een andere factor die malware-auteurs waarschijnlijk aantrekkelijk zullen vinden. De vele kwetsbaarheden die BotenaGo kan misbruiken, zijn onder meer CVE-2015-2051 in bepaalde draadloze D-Link-routers, CVE-2016-1555 die invloed heeft op Netgear-producten, CVE-2013-3307 op Linksys-apparaten en CVE-2014-2321 die van invloed is op bepaalde ZTE-kabels. modemmodellen.

"Alien Labs verwacht nieuwe campagnes te zien op basis van BotenaGo-varianten die zich richten op routers en IoT-apparaten over de hele wereld", zegt malware-onderzoeker Ofer Caspi van Alien Labs in de eerder genoemde blogpost. "Vanaf de publicatie van dit artikel blijft de detectie van antivirus (AV) leveranciers voor BotenaGo en zijn varianten achter met een zeer lage detectiedekking van de meeste AV-leveranciers."

Volgens Alien Labs zijn momenteel slechts drie van de 60 AV op VirusTotal in staat de malware te detecteren.

Het bedrijf vergeleek de stap met die van Mirai's auteurs in 2016, toen ze de broncode voor de malware uploadden naar een hackcommunityforum. De code-release resulteerde in de ontwikkeling van tal van Mirai-varianten, zoals: Satori, Moobot en Masuta, die verantwoordelijk zijn voor miljoenen IoT-apparaatinfecties. De Mirai-code-release resulteerde in varianten met unieke functionaliteit, nieuwe mogelijkheden en nieuwe exploits.

spot_img

Laatste intelligentie

spot_img