Unit 42, el equipo de investigación de Palo Alto Networks, ha identificado nueva variante de la bortnet Mirai que, bautizada como V3G4, está explotando trece vulnerabilidades en servidores Linux y dispositivos IoT para lanzar ataques de DDoS.
Explican los investigadores que han estudiado a V3G4 en tres campañas, la primera de las cuales se detectó en julio de 2022 y que, en función de los dominios de C&C, los descargadores de malware y claves de descifrado, es probable que detrás esté el mismo actor de amenazas.
El malware se propaga mediante ataques de fuerza bruta de credenciales de telnet/SSH débiles o predeterminadas y explota vulnerabilidades para realizar la ejecución remota de código en los dispositivos de destino.
En las últimas campañas, Unit42 descubrió que una vez comprometido por la variante V3G4, los atacantes pueden controlar completamente el dispositivo y la plataforma se convierte en “parte de la botnet”. Eso significa que el actor puede usar el dispositivo para realizar más ataques, incluidos los ataques de denegación de servicio distribuido (DDoS).
Las vulnerabilidades específicas afectan a FreePBX Elastix (CVE-2012-4869), Gitorious, cámaras web FRITZ!Box (CVE-2014-9727), Mitel AWC, cámaras IP Geutebruck (CVE-2017-5173), Webmin (CVE-2019-15107) , Spree Commerce, cámaras térmicas FLIR, DrayTek Vigor (CVE-2020-8515 y CVE-2020-15415), Airspan AirSpot (CVE-2022-36267), Atlassian Confluence (CVE-2022-26134) y C-Data Web Management Sistema (CVE-2022-4257).
Una característica que diferencia a V3G4 de la mayoría de las variantes de Mirai es que utiliza cuatro claves de cifrado XOR diferentes en lugar de solo una, lo que hace que la ingeniería inversa del código del malware y la decodificación de sus funciones sean más desafiantes.
