Rilevamento della Variante di Mirai V3G4: Nuova Versione di Botnet che Sfrutta 13 Vulnerabilità per Attaccare Server Linux e Dispositivi IoT

Gli attori delle minacce arricchiscono costantemente i loro strumenti offensivi sperimentando nuove varianti di malware sofisticato per ampliare la portata degli attacchi. I difensori informatici hanno osservato una nuova botnet Mirai variante chiamata V3G4 farsi notare nel panorama delle minacce informatiche. La nuova variante di malware è stata utilizzata in diverse campagne avversarie minacciando gli utenti target per oltre sei mesi da luglio 2022. Sfruttando alcune vulnerabilità in una serie di dispositivi IoT, la variante Mirai V3G4 può portare all’esecuzione di codice remoto (RCE) e attacchi denial-of-service (DDoS). 

Rilevamento della Variante Mirai V3G4

Date le crescenti dimensioni e sofisticazione degli attacchi che sfruttano la nuova variante V3G4 del Mirai, gli operatori di sicurezza richiedono una fonte affidabile di contenuti di rilevamento per identificare l’attività dannosa associata e difendere proattivamente l’infrastruttura organizzativa. 

La piattaforma Detection as Code di SOC Prime offre una regola Sigma dedicata dal nostro abile sviluppatore Threat Bounty Wirapong Petshagun che rileva modelli di sfruttamento dell’esecuzione remota dei comandi Mitel AWC nei registri dei server web relativi all’ultima attività V3G4:

Sfruttamento dell’Esecuzione Remota dei Comandi Mitel AWS utilizzata dalla Variante Mirai chiamata V3G4 (tramite server web)

Il rilevamento è allineato con il framework MITRE ATT&CK v12, affrontando la tattica di Accesso Iniziale con l’applicazione del Public-Facing Application Exploit (T1190) come tecnica principale. La regola Sigma può essere tradotta automaticamente in 16 soluzioni SIEM, EDR e XDR riducendo i tempi nel rilevamento delle minacce su diverse piattaforme.

Desideroso di unirti alle file dei difensori informatici? Unisciti al nostro Threat Bounty Program per monetizzare i tuoi contenuti di rilevamento esclusivi mentre costruisci il tuo futuro CV affinando le tue abilità nel detection engineering. Pubblicato nel più grande marketplace di rilevamento delle minacce al mondo ed esplorato da oltre 8.000 organizzazioni a livello globale, le tue regole Sigma possono aiutare a rilevare le minacce emergenti e rendere il mondo un posto più sicuro garantendo profitti finanziari ricorrenti.

Per esplorare l’intero lotto di regole Sigma che rilevano attività dannose associate al malware Mirai, premi il pulsante Esplora Rilevamenti . Le regole sono accompagnate da un’ampia metadata, inclusi i link CTI corrispondenti, riferimenti ATT&CK e idee per la ricerca delle minacce. 

Esplora Rilevamenti

Descrizione della Variante Mirai V3G4

Il famigerato malware Mirai è stato un fastidio per i difensori informatici, continuamente aggiornato e arricchito con nuove funzionalità offensive. A settembre, gli attori delle minacce dietro la botnet Mirai hanno rilasciato la sua complessa iterazione conosciuta come MooBot, che colpisce i dispositivi D-Link e sfrutta una vasta gamma di tecniche di sfruttamento.

La nuova variante della botnet Mirai, denominata V3G4, è stata notata nell’arena delle minacce informatiche dall’estate metà 2022, prendendo di mira i server basati su Linux e i dispositivi di rete. Secondo la ricerca di Unità 42 di Palo Alto Networks, si ritiene altamente probabile che i campioni della nuova versione del malware osservati in tre campagne avversarie siano attribuibili a un unico collettivo di hacker basato sui domini C2 hard-coded contenenti la stessa stringa, l’uso della stessa chiave di decrittazione XOR e downloader di script shell, nonché altre funzionalità offensive con schemi simili. 

Negli attacchi in corso, la botnet Mirai sta prendendo di mira 13 vulnerabilità non patchate nei dispositivi IoT, cercando di causare RCE e dando agli avversari il via libera a potenziali attacchi DDoS. Gli exploit prendono di mira RCE, iniezione di comandi e vulnerabilità di iniezione dell’Object-Graph Navigation Language (OGNL) in una gamma di dispositivi IoT, inclusi FreePBX Elastix, Gitorious, webcam FRITZ!Box, Webmin, Spree Commerce, Atlassian Confluence e altri prodotti popolari. 

Notabilmente, a differenza di altre versioni di Mirai, la nuova variante V3G4 applica una chiave XOR unica per la crittografia delle stringhe per ogni caso d’uso. Prima di connettersi al server C2, V3G4 inizializza le funzioni di attacco DDoS, tutte pronte per tentare attacchi DDoS una volta che la connessione è pronta.

La variante Mirai V3G4 può avere un impatto significativo sulla sicurezza dei sistemi coinvolti dopo lo sfruttamento della vulnerabilità, portando a RCE e ulteriori attacchi, il che richiede un’ultra-reattività da parte dei difensori informatici. 

Raggiungi oltre 800 regole Sigma per rilevare proattivamente i tentativi di sfruttamento dei CVE attuali ed emergenti e rimanere sempre un passo avanti agli avversari. Ottieni 140+ regole Sigma gratuitamente o beneficia delle rilevazioni Premium pertinenti di tua scelta con On Demand su https://my.socprime.com/pricing/.