Mirai-Variante V3G4 Erkennung: Neue Botnetz-Version nutzt 13 Schwachstellen aus, um Linux-Server und IoT-Geräte anzugreifen
Inhaltsverzeichnis:
Bedrohungsakteure bereichern ständig ihre offensiven Werkzeugkästen, während sie mit neuen, ausgeklügelten Malware-Varianten experimentieren, um den Umfang der Angriffe zu erweitern. Cyberverteidiger haben eine neue Mirai-Botnet Variante namens V3G4 in den Mittelpunkt der Bedrohungslandschaft gelangen sehen. Die neuartige Malware-Variante wurde in mehreren gegnerischen Kampagnen eingesetzt, um gezielte Benutzer seit über einem halben Jahr, seit Juli 2022, zu bedrohen. Durch die Ausnutzung bestimmter Schwachstellen in einer Reihe von IoT-Geräten kann die Mirai V3G4-Variante zu Remote Code Execution (RCE) und Denial-of-Service (DDoS)-Angriffen führen.
Erkennung der V3G4 Mirai-Variante
Angesichts der zunehmenden Menge und Komplexität der Angriffe, die die neuartige V3G4 Mirai-Variante ausnutzen, benötigen Sicherheitsakteure eine verlässliche Quelle für Erkennungsinhalte, um die damit verknüpfte bösartige Aktivität zu identifizieren und die organisatorische Infrastruktur proaktiv zu verteidigen.
SOC Primes Detection as Code-Plattform bietet eine spezielle Sigma-Regel von unserem engagierten Threat-Bounty-Entwickler Wirapong Petshagun zur Erkennung der Mitel AWC-Remote-Befehlsausführungsmuster in Webserver-Protokollen in Bezug auf die neueste V3G4-Aktivität:
Mitel AWS Remote Command Execution Exploitation Used by Mirai Variant Called V3G4 (via Webserver)
Die Erkennung ist mit dem MITRE ATT&CK-Framework v12ausgerichtet und adressiert die Taktik des initialen Zugangs mit der Technik „Öffentliche Applikation ausnutzen“ (T1190) als primäre Methode. Die Sigma-Regel kann automatisch in 16 SIEM-, EDR- und XDR-Lösungen übersetzt werden, wodurch die Bedrohungserkennung plattformübergreifend in Sekundenbruchteilen möglich ist.
Möchten Sie zu den Cyberverteidigern gehören? Treten Sie unserem Threat Bounty Programm bei, um Ihre exklusiven Erkennungsinhalte zu monetarisieren, während Sie Ihren zukünftigen Lebenslauf kodieren und Ihre Erkennungstechniken verbessern. Veröffentlicht auf dem weltweit größten Erkennung-Marktplatz und von über 8.000 Organisationen weltweit erforscht, können Ihre Sigma-Regeln helfen, aufkommende Bedrohungen zu erkennen und die Welt sicherer zu machen, während Sie wiederkehrende finanzielle Gewinne erzielen.
Um die gesamte Reihe von Sigma-Regeln zur Erkennung bösartiger Aktivitäten im Zusammenhang mit Mirai-Malware zu erkunden, drücken Sie den Detektionen erkunden Knopf. Die Regeln sind von umfangreichen Metadaten begleitet, einschließlich entsprechender CTI-Links, ATT&CK-Referenzen und Ideen zur Bedrohungssuche.
Beschreibung der Mirai-Variante V3G4
Die berüchtigte Mirai-Malware war ein ständiger Dorn im Auge der Cyberverteidiger und wurde kontinuierlich aufgerüstet und mit neuen offensiven Fähigkeiten angereichert. Im September veröffentlichten die Bedrohungsakteure hinter dem Mirai-Botnet einen trickreichen Iteration, bekannt als MooBot, der D-Link-Geräte betrifft und eine Vielzahl von Ausnutzungstechniken einsetzt.
Die neuartige Mirai-Botnet-Variante, die als V3G4 bezeichnet wird, wurde seit Mitte 2022 in der Bedrohungsarena bemerkt und zielt auf Linux-basierte Server und Netzwerkgeräte ab. Laut der Forschung von Palo Alto Networks Unit 42wird angenommen, dass die in drei gegnerischen Kampagnen beobachteten neuen Malware-Proben wahrscheinlich einem einzigen Hacking-Kollektiv zuzuordnen sind, basierend auf den hartcodierten C2-Domains, die den gleichen String enthalten, der Verwendung desselben XOR-Schlüssels für Entschlüsselung und Shell-Skript-Downloader sowie anderer offensiver Fähigkeiten mit ähnlichen Mustern.
In den laufenden Angriffen zielt das Mirai-Botnet auf 13 ungepatchte Schwachstellen in IoT-Geräten ab, um RCE zu verursachen und Gegnern mögliche DDoS-Angriffe zu ermöglichen. Exploits zielen auf RCE-, Befehlsinjektions- und Object-Graph Navigation Language (OGNL) Injektions-Schwachstellen in einer Vielzahl von IoT-Geräten, einschließlich FreePBX Elastix, Gitorious, FRITZ!Box-Webcams, Webmin, Spree Commerce, Atlassian Confluence und anderen beliebten Produkten.
Bemerkenswert ist, dass im Gegensatz zu anderen Mirai-Versionen die neuartige V3G4-Variante für die String-Verschlüsselung einen einzigartigen XOR-Schlüssel für jeden Anwendungsfall verwendet. Bevor die Verbindung zum C2-Server hergestellt wird, initialisiert V3G4 DDoS-Angriffsfunktionen, die alle bereit sind, DDoS-Angriffe zu versuchen, sobald die Verbindung bereitsteht.
Die Mirai-Variante V3G4 kann nach einer erfolgreichen Ausnutzung von Schwachstellen erhebliche Sicherheitsauswirkungen auf betroffene Systeme haben, die zu RCE und weiteren Angriffen führen können, was von Cyberverteidigern eine extrem schnelle Reaktionsfähigkeit erfordert.
Erreichen Sie über 800 Sigma-Regeln, um Ausnutzungsversuche aktueller und aufkommender CVEs proaktiv zu erkennen und immer einen Schritt voraus zu sein. Holen Sie sich 140+ Sigma-Regeln kostenlos oder profitieren Sie von relevanten Premium-Erkennungen Ihrer Wahl mit On Demand bei https://my.socprime.com/pricing/.
