SORA Botnet

Das SORA Botnet ist eine Variante, die auf dem Code des berüchtigten Mirai Botnet basiert. Seit Mirais Quellcode 2016 in einem Hacker-Forum veröffentlicht wurde, wurden mehrere Kampagnen mit benutzerdefinierten Varianten des Botnetzes erkannt. Im Fall von SORA wurde er entwickelt, um zwei Sicherheitslücken zu missbrauchen. Für die Remotecodeausführung wird CVE-2017-17215 ausgenutzt, während CVE-2018-10561 der Malware die Möglichkeit gibt, das infizierte Gerät zu verwalten.

Sobald ein geeignetes Gerät kompromittiert wurde, wird ein Downloader aus der für die Kampagne eingerichteten Command-and-Control-Infrastruktur (C2, C & C) entfernt. Diese Malware der ersten Stufe ist für die Bereitstellung und Ausführung der tatsächlichen SORA-Nutzdaten in der zweiten Stufe der Angriffskette verantwortlich.

SORA wurde zusammen mit einer anderen Mirai Botnet- Variante namens UNSTABLE in einer Kampagne für Videoüberwachungsspeichersysteme von Rasilient PixelStor5000 eingesetzt. Der spezifische Eingabevektor war die Sicherheitsanfälligkeit CVE-2020-6756, mit der die Hacker RCE-Befehle über den Parameter 'lang' ausführen können.

Da Botnets eine beträchtliche Anzahl kompromittierter Geräte benötigen, die sie von Natur aus in Bots verwandeln, um ihre Funktionen auszuführen, ist es nicht verwunderlich, wenn die Hacker beschließen, ihren anfänglichen Zielbereich zu erweitern. Wenn die kritische Masse erreicht ist, können Botnets durch DDoS-Angriffe (Distributed Denial of Service) massive Störungen verursachen. In der Tat ist es das Ziel der meisten Kriminellen, ihr Botnetz jedem potenziellen Bedrohungsakteur zur Verfügung zu stellen, der solche Angriffe ausführen möchte.