Dark Mirai Botnet

Obwohl das Mirai-Botnet vor Jahren geschlossen wurde, lebt sein Vermächtnis weiter. Nach der Veröffentlichung des Quellcodes des Botnetzes nutzten viele Cyberkriminelle diesen als Grundlage, um eigene Versionen der Malware zu erstellen. Einer der noch aktiven Ableger von Mirai wird von der Infosec-Community als Dark Mirai (alias MANGA) getrackt. Und laut den Forschern von Fortinet, die die Aktivitäten dieses Botnetzes überwachen, statten seine Betreiber es weiterhin mit neuen Schwachstellen aus, die ausgenutzt werden können.

Einer der neuesten, der dem Dark Mirai hinzugefügt wurde, betrifft eine Reihe beliebter TP-Link-Heimrouter. Genauer gesagt handelt es sich bei dem betroffenen Modell um den TL-WR840N EU V5, der 2017 veröffentlicht wurde. Die besondere Schwachstelle - CVE-2021-41653 ermöglicht es einem authentifizierten Benutzer, aufgrund einer anfälligen 'Host'-Variablen Befehle auf dem Gerät auszuführen. Es sei darauf hingewiesen, dass TP-Link das Problem mit der Veröffentlichung eines Firmware-Updates am 12. November 2021 behoben hat, sodass die Dark Mirai-Hacker darauf vertrauen, dass Benutzer ihre Geräte nicht aktualisieren und anfällig bleiben.

Sobald die Angreifer ein geeignetes Gerät entdecken, nutzen sie die Schwachstelle CVE-2021-41653 aus, um ein Skript namens 'tshit.sh' herunterzuladen und auszuführen. Dieses Skript ist dann dafür verantwortlich, die Hauptnutzlasten über zwei Anfragen abzurufen. Da die Angreifer authentifiziert werden müssen, sind Benutzer, die immer noch die Standard-Anmeldeinformationen für ihren Router verwenden, am wahrscheinlichsten kompromittiert.

Bei der Bereitstellung identifiziert das Dark Mirai die Architektur des infizierten Routers und ruft dann eine geeignete Nutzlast ab. Die Bedrohung wird das Gerät dann vor potenzieller Infiltration durch andere konkurrierende Botnets isolieren, indem mehrere häufig anvisierte Ports abgeschaltet werden. Der Dark Mirai bleibt dann ruhend und wartet auf Befehle von seinem Command-and-Control (C&C)-Server.