Sicherheitsforscher schlagen Alarm wegen einer neuen Variante des Mirai-Botnets, das unter dem Namen MooBot auf D-Link-Geräte abzielt. Die neuartige Bedrohung nutzt mehrere Ausnutzungstechniken.
MooBot tauchte erstmals 2019 auf, als es LILIN-Digitalrekorder und Hikvision-Videoüberwachungsprodukte entführte und sie in eine Familie von Denial-of-Service-Bots integrierte.
MooBot erkennen
Um die Signatur-ID der MooBot-Probe in Ihrem System zu erkennen, verwenden Sie die folgende Sigma-Regel, die von dem erstklassigen SOC Prime Threat Bounty-Entwickler Nattatorn Chuensangarun bereitgestellt wird:
Palo Alto Networks Signaturerkennung für Mirai Botnet (MooBot), das auf D-Link-Geräte abzielt
Die Erkennungsregel ist abgestimmt auf das MITRE ATT&CK® Framework v.10 und befasst sich mit der Taktik der lateralen Bewegung, die durch die Technik der Ausnutzung von Remote-Diensten (T1210) repräsentiert wird.
Unsere SOC-Inhaltsbibliothek aggregiert über 200.000 Erkennungs- und Reaktionsalgorithmen, die direkt zu CVE- und MITRE ATT&CK®-Frameworks abgebildet sind, sodass Sie den berüchtigten Cyberangriffen in den frühesten Stadien des Eindringens standhalten können. Erhalten Sie sofortigen Zugriff, indem Sie auf den Erkennungen erkunden Button klicken.
MooBot-Analyse
Die Ergebnisse stammen von Palo Alto Networks Unit 42, die sagen, dass Bedrohungsakteure die folgenden D-Link-Schwachstellen mit hohem und kritischem Schweregrad ausnutzen: CVE-2015-2051, CVE-2018-6530, CVE-2022-26258 und CVE-2022-28958. Wenn es den Angreifern gelingt, ihre Ausnutzungsversuche zu unternehmen, können sie bösartigen Code aus der Ferne ausführen und die MooBot-Nutzlast abrufen, um Linux-betriebene Netzwerkgeräte zu kompromittieren. Sobald der Angreifer die volle Kontrolle über das Gerät hat, sind seinen bösartigen Plänen keine Grenzen gesetzt. Mit hoher Wahrscheinlichkeit gehen die Gegner dazu über, bösartige DDoS-Angriffe zu starten.
Das auf Mirai basierende Botnet namens Moobot kann erhebliche Sicherheitsauswirkungen haben; die schwerwiegenden Folgen dieser Angriffe drängen die Benutzer von anfälligen Geräten dazu, die Sicherheitslücken so schnell wie möglich zu beheben.
Der Anstieg der Anzahl und Schwere von Cyberangriffen weltweit schafft eine erweiterte Angriffsfläche, die täglich mehr Einzelpersonen und Unternehmen gefährdet. Um Ihr Unternehmen mit den besten Sicherheitspraktiken auszurüsten, registrieren Sie sich für die SOC Prime Platform.
