È stato scoperto un dominio malware sotterraneo, denominato Cyberium, che ospita una variante Mirai attiva, identificata come Moobot. Inoltre, i ricercatori hanno osservato una scansione diffusa nella loro telemetria per una vulnerabilità nei router Tenda.
Secondo AT&T Alien Labs , la scansione diffusa per i router Tenda vulnerabili ha allertato i ricercatori. Il difetto mirato è una vulnerabilità di esecuzione di codice remoto (CVE-2020-10987).
- Questo picco di attività è stato osservato in un gran numero di clienti, nel giro di poche ore. Questa vulnerabilità è stata rilevata a malapena dagli honeypot negli ultimi sei mesi, ad eccezione di un picco minore nel novembre 2020.
- Alla fine di marzo, i ricercatori hanno rintracciato l’infrastruttura dietro il malware e hanno identificato che oltre alla scansione per le vulnerabilità di Tenda, stava scansionando altri bug in Axis SSI, Realtek SDK Miniigd (CVE-2014-8361) e nei router domestici Huawei (CVE-2017 -17215).
- Inoltre, stava implementando uno scanner DVR che tentava le credenziali predefinite per l’applicazione video Sofia. Questi compromessi erano collegati a diverse infezioni botnet basate su Mirai, inclusa la botnet Satori.
- Quando è stato indagato il dominio Cyberium, sono state osservate diverse campagne, risalenti al maggio 2020. La maggior parte degli attacchi è durata circa una settimana mentre ospitavano varie varianti Mirai.
Cyberium è in azione da un anno e sembra essere ancora attivo. Alcuni dei suoi sottodomini erano attivi, tuttavia non ospitavano alcun campione di malware. Significa che queste pagine dannose sono attualmente in attesa di nuove richieste per gli elenchi di server C2 o che possano venir attivate nel prossimo futuro.