Mirai_ptea: l’ultima botnet ispirata a Mirai

I ricercatori della sicurezza informatica hanno individuato una nuova botnet ispirata a Mirai identificata come mirai_ptea che abusa di una vulnerabilità sconosciuta. Il difetto sfruttato esisteva nei videoregistratori digitali (DVR) prodotti da KGUARD per eseguire attacchi DDoS.

Di cosa si tratta?

Netlab 360, un’azienda cinese di sicurezza informatica, ha rivelato per la prima volta il difetto recentemente sfruttato il 23 marzo. Successivamente, è stato rilevato in un tentativo di sfruttamento attivo dalla botnet mirai_ptea il 22 giugno.

  • I ricercatori hanno affermato che il firmware del DVR KGUARD aveva un codice vulnerabile dal 2017. Tuttavia, non è stato rivelato molto sul difetto di sicurezza sfruttato per fermare un ulteriore sfruttamento.
  • Inoltre, il difetto sfruttato consente l’esecuzione remota di comandi di sistema senza autenticazione. Si ritiene che almeno 3.000 dispositivi siano esposti online a questa vulnerabilità.
  • Si è scoperto che la botnet utilizza Tor Proxy per comunicare con il server C2 e un’analisi del campione mirai_ptea ha rivelato un’ampia crittografia di tutte le informazioni sensibili sulle risorse.
  • Le informazioni sulle risorse sensibili vengono decodificate per stabilire una connessione con il server C2. Successivamente, recupera ulteriori comandi per l’esecuzione come l’avvio di attacchi DDoS.

Ulteriori approfondimenti 

La distribuzione geografica degli IP di origine del bot si concentra principalmente su Stati Uniti, Brasile e Corea. Ulteriori infezioni sono state segnalate in Europa, Australia, Asia, Nord/Sud America e parti dell’Africa.

  • I ricercatori chiamano la nuova variante Mirai_ptea perché utilizza Tor Proxy per comunicare con C2 e il TEA (Tiny Encryption Algorithm) per nascondere le informazioni sulle risorse.
  • Mirai_ptea ha due set di proxy integrati, con voci di tabella 0x2b e 0x2a nella risorsa crittografata. Quando il bot è in esecuzione, uno dei due set di proxy viene selezionato casualmente.

Conclusioni

La variante mirai_ptea è un perfetto esempio delle pericolose conseguenze del codice sorgente trapelato. Il codice sorgente di Mirai è trapelato diversi anni fa e da allora nuove varianti vengono ancora individuate regolarmente nel panorama delle minacce. Per protezione, si consiglia di applicare frequentemente aggiornamenti di sicurezza al firmware del dispositivo.