Detecção da Variante Mirai V3G4: Nova Versão do Botnet Explorando 13 Vulnerabilidades para Atacar Servidores Linux e Dispositivos IoT
Índice:
Os atores de ameaças estão constantemente enriquecendo suas ferramentas ofensivas enquanto experimentam novas variantes sofisticadas de malware para expandir o alcance dos ataques. Defensores cibernéticos observaram uma nova botnet Mirai variante chamada V3G4 ganhar destaque no cenário de ameaças cibernéticas. A nova variante de malware foi utilizada em várias campanhas adversárias ameaçando usuários-alvo por mais de meio ano desde julho de 2022. Ao explorar certas vulnerabilidades em um conjunto de dispositivos IoT, a Variante Mirai V3G4 pode levar à execução remota de código (RCE) e ataques de negação de serviço (DDoS).
Detectando Variante V3G4 da Mirai
Dado o aumento no volume e sofisticação dos ataques que utilizam a nova variante V3G4 da Mirai, os profissionais de segurança precisam de uma fonte confiável de conteúdo de detecção para identificar a atividade maliciosa associada e defender proativamente a infraestrutura organizacional.
A plataforma Detection as Code da SOC Prime oferece uma regra Sigma dedicada pelo nosso afiado desenvolvedor Threat Bounty Wirapong Petshagun detectando padrões de exploração de execução de comandos remotos Mitel AWC em logs de servidores web relacionados à atividade mais recente da V3G4:
A detecção está alinhada com o framework MITRE ATT&CK v12, abordando a tática de Acesso Inicial com a técnica Explorar Aplicativo Aberto ao Público (T1190) aplicada como sua técnica principal. A regra Sigma pode ser automaticamente traduzida para 16 soluções SIEM, EDR e XDR, economizando segundos na detecção de ameaças multiplataforma.
Ansioso para se juntar às fileiras de defensores cibernéticos? Junte-se ao nosso Programa de Threat Bounty para monetizar seu conteúdo exclusivo de detecção enquanto cria seu currículo futuro e aprimora suas habilidades de engenharia de detecção. Publicadas no maior marketplace de detecção de ameaças do mundo e exploradas por mais de 8.000 organizações globalmente, suas regras Sigma podem ajudar a detectar ameaças emergentes e tornar o mundo um lugar mais seguro, ao mesmo tempo que concede lucros financeiros recorrentes.
Para explorar todo o lote de regras Sigma que detectam atividade maliciosa associada ao malware Mirai, pressione o botão Explorar Detecções . As regras são acompanhadas por metadados extensos, incluindo links CTI correspondentes, referências ATT&CK e ideias de caças de ameaças.
Descrição da Variante Mirai V3G4
O infame malware Mirai tem sido um incômodo para os defensores cibernéticos, constantemente atualizado e enriquecido com novas capacidades ofensivas. Em setembro, os atores de ameaças por trás da botnet Mirai lançaram sua complicada iteração conhecida como MooBot, afetando dispositivos D-Link e aproveitando uma ampla gama de técnicas de exploração.
A nova variante de botnet Mirai apelidada de V3G4 foi notada na arena de ameaças cibernéticas desde meados do verão de 2022, tendo como alvo servidores baseados em Linux e dispositivos de rede. De acordo com a pesquisa da Palo Alto Networks Unit 42,, as amostras da nova versão do malware observadas em três campanhas de adversários têm alta probabilidade de serem atribuídas a um coletivo de hackers com base nos domínios C2 hardcoded contendo a mesma string, o uso da mesma chave de decriptação XOR e scripts de download de shell, bem como outras capacidades ofensivas com padrões semelhantes.
Nos ataques em andamento, a botnet Mirai está direcionando 13 vulnerabilidades não corrigidas em dispositivos IoT, tentando causar RCE e dando aos adversários a luz verde para potenciais ataques DDoS. As explorações visam vulnerabilidades de RCE, injeção de comandos e injeção de Object-Graph Navigation Language (OGNL) em uma ampla gama de dispositivos IoT, incluindo FreePBX Elastix, Gitorious, webcams FRITZ!Box, Webmin, Spree Commerce, Atlassian Confluence e outros produtos populares.
Notavelmente, ao contrário de outras versões da Mirai, a nova variante V3G4 aplica uma chave XOR única para criptografia de strings para cada caso de uso. Antes de se conectar ao servidor C2, a V3G4 inicia funções de ataque DDoS, todas prontas para tentar ataques DDoS quando a conexão estiver pronta.
A Variante Mirai V3G4 pode ter um forte impacto na segurança dos sistemas afetados após uma exploração de vulnerabilidade bem-sucedida, levando a RCE e ataques adicionais, o que requer ultra-responsividade dos defensores cibernéticos.
Atinga 800+ regras Sigma para proativamente detectar tentativas de exploração de CVEs atuais e emergentes e esteja sempre um passo à frente dos adversários. Obtenha 140+ regras Sigma gratuitamente ou escolha ganhar com detecções Premium relevantes de sua escolha com On Demand em https://my.socprime.com/pricing/.
