Entfesseltes Chaos: Die Condi-Malware übernimmt die Kontrolle über TP-Link-WLAN-Router und führt zu verheerenden DDoS-Botnet-Angriffen
Eine neu entdeckte Malware, Condi, hat sich als erhebliche Bedrohung herausgestellt und nutzt eine Sicherheitslücke in den WLAN-Routern TP-Link Archer AX21 (AX1800). Sein Hauptziel besteht darin, diese kompromittierten Geräte nutzbar zu machen und sie zu einem leistungsstarken Distributed Denial-of-Service (DDoS)-Botnetz zusammenzuführen. Forscher haben seit Ende Mai 2023 einen starken Anstieg der Intensität der Kampagne festgestellt.
Wer steckt hinter Condi?
Der Drahtzieher hinter Condi ist eine Person, die unter dem Online-Spitzennamen zxcr9999 bekannt ist und seine illegalen Aktivitäten aktiv über den Telegram-Kanal Condi Network bewirbt. Ab Mai 2022 hat der Bedrohungsakteur sein Botnetz monetarisiert, indem er DDoS-as-a-Service anbietet und sogar den Quellcode der Malware verkauft. Sicherheitsforscher haben die Malware gründlich analysiert und ihre Fähigkeit entdeckt, konkurrierende Botnetze auf demselben Host zu eliminieren. Allerdings fehlt Condi ein Persistenzmechanismus, sodass es einen Systemneustart nicht überleben kann.
Um die Einschränkung der Persistenz nach einem Systemneustart zu überwinden, ergreift Condi Maßnahmen, indem es mehrere Binärdateien löscht, die für das Herunterfahren oder Neustarten des Systems verantwortlich sind. Zu diesen Binärdateien gehören /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt und /usr/bin/halt. Es ist erwähnenswert, dass das Mirai-Botnetz zuvor die anvisierte Schwachstelle ausgenutzt hat.
Im Gegensatz zu anderer weit verbreiteter Malware verwendet Condi ein Scannermodul, um TP-Link Archer AX21-Router zu identifizieren, die für CVE-2023-1389 anfällig sind (CVSS-Score: 8,8). Anstatt Brute-Force-Angriffe wie einige Botnetze einzusetzen, führt Condi ein Shell-Skript aus, das von einem Remote-Server abgerufen wurde, um die Malware auf den identifizierten Geräten abzulagern.
Laut Sicherheitsanalysten sind mehrere Instanzen von Condi aufgetaucht, die verschiedene bekannte Sicherheitslücken zur Verbreitung ausnutzen. Dies weist darauf hin, dass Geräte, auf denen ungepatchte Software ausgeführt wird, besonders anfällig für Angriffe dieser Botnet-Malware sind. Abgesehen von seinen aggressiven Monetarisierungstaktiken besteht das Hauptziel von Condi darin, Geräte zu kompromittieren und ein beeindruckendes DDoS-Botnetz aufzubauen. Dieses Botnetz kann dann an andere Bedrohungsakteure vermietet werden, sodass diese TCP- und UDP-Flood-Angriffe auf gezielte Websites und Dienste starten können.
Die Neutralisierung von Botnetzen ist für die Aufrechterhaltung eines sicheren und stabilen digitalen Ökosystems von größter Bedeutung. Botnets wie die Condi-Malware können Schwachstellen in ungepatchter Software ausnutzen und ein Netzwerk kompromittierter Geräte für schädliche Aktivitäten wie DDoS-Angriffe missbrauchen. Diese Angriffe stören Online-Dienste und gefährden die Integrität und Verfügbarkeit kritischer Infrastruktur erheblich. Einzelpersonen, Organisationen und Sicherheitsexperten müssen wachsam bleiben, die Software auf dem neuesten Stand halten und robuste Sicherheitsmaßnahmen ergreifen, um Botnet-Bedrohungen zu erkennen und abzuschwächen. Durch die aktive Neutralisierung von Botnetzen können wir unsere digitalen Umgebungen schützen und zu einer sichereren Online-Landschaft für alle Benutzer beitragen.
