Ttint Botnet

Das Ttint Botnet ist ein IoT-Botnet (Internet of Things), das seit über einem Jahr aktiv ist. Laut der Analyse der Spezialisten nutzten die Kriminellen zwei Zero-Day-Schwachstellen aus, um Tenda-Router zu infiltrieren und Malware zu installieren. Während die meisten IoT-Botnets hauptsächlich zum Starten eines DDoS-Angriffs verwendet werden, zeigt das Ttint Botnet einen weitaus größeren Bereich verfügbarer Funktionen an, einschließlich der Ausführung von Fernzugriffsbefehlen und der Manipulation der DNS-Einstellungen des Routers.

Bisher zwei Versionen von Ttint entdeckt

Als das Ttint Botnet zum ersten Mal erkannt wurde, stützte es sich auf den Missbrauch einer Zero-Day-Sicherheitsanfälligkeit von Tendra, die als CVE-2018-14558 & CVE-2020-10987 verfolgt wird. Die Hacker könnten diese Sicherheitsanfälligkeit ausnutzen, um ihre Malware über sechs Monate lang zu verbreiten. Im Juli 2020 wurde jedoch ein Bericht veröffentlicht, in dem die Zero-Day-Sicherheitslücke detailliert beschrieben und öffentlich bekannt gemacht wird. Obwohl Tendra noch kein Update zur Behebung des Problems veröffentlicht hat, haben die Hacker ihre Taktik schnell geändert und in nur wenigen Wochen eine neue Version ihres Bedrohungstools veröffentlicht. Funktionell blieb diese zweite Iteration praktisch unverändert, hatte jedoch eine andere Zero-Day-Sicherheitsanfälligkeit ausgenutzt, die bisher nicht bekannt und nicht gepatcht war.

Personen, die Tendra-Router verwenden, sollten wachsam sein und die Firmware auf ihren Geräten überprüfen. Laut den Forschern werden Firmware-Versionen von AC9 bis AC18 wahrscheinlich angegriffen und Opfer des Ttint Botnet. Die am stärksten betroffenen Geräte befinden sich in Brasilien, gefolgt von den USA, Südafrika und Indien.

Ttint ist ein modifizierter Mirai

Im Kern ist das Ttint Botnet ein RAS-Trojaner, der auf Router-Geräte abzielt und eine stark erweiterte und modifizierte Version der Mirai Botnet IoT-Malware ist. Das Mirai Botnet ist eine beliebte Wahl unter Cyberkriminellen geblieben, seit sein Quellcode 2016 online durchgesickert ist. Dadurch konnten Hacker mit unterschiedlichem Können Varianten in die Wildnis entlassen. Ein Blick auf das Ttint Botnet zeigt, dass seine verschiedenen Komponenten und Funktionen für sich genommen nichts Neues sind, aber die Tatsache, dass die dafür verantwortlichen Hacker es geschafft haben, verschiedene IoT- oder Linux-Malware-Aspekte zu einer einzigen Einheit zu kombinieren, macht die Bedrohung ziemlich einzigartig.

Für den Anfang hat das Ttint Botnet 10 DDoS-Angriffsanweisungen aus dem Mirai Botnet beibehalten, wurde jedoch mit 12 neuen Befehlen ausgestattet, die für sein Fernzugriffsverhalten verantwortlich sind. Eine weitere bedeutende Abweichung vom Mirai Botnet ist die Art und Weise, wie das Ttint Botnet seine Command-and-Control-Kommunikation (C2) handhabt. Anscheinend wurde das Ttint Botnet für die Verwendung eines WebSocket-Protokolls konfiguriert.