Qualys Threat Research entdeckt Murdoc Mirai, eine neue Variante von Corona Mirai, die auf Router von AVTECH und Huawei abzielt. Qualys Threat Research uncovers Murdoc botnet Mirai, a new variant of Corona Mirai targeting AVTECH and Huawei devices.
Die Threat Research Unit von Qualys hat eine groß angelegte Operation innerhalb der Mirai-Kampagne entdeckt, die als Murdoc-Botnet bezeichnet wird. Diese Variante nutzt Schwachstellen aus, die auf AVTECH-Kameras und Huawei HG532-Router abzielen. Sie demonstriert fortgeschrittene Fähigkeiten, indem sie Schwachstellen ausnutzt, um Geräte zu kompromittieren und große Botnets aufzubauen. In diesem Blog werden die Verbreitungsmethoden und Angriffsvektoren des Murdoc-Botnets untersucht.

Überblick über die jüngste Murdoc-Botnet-Kampagne und historische Timeline

Bei dieser jüngsten Kampagne werden ELF-Dateien und Shell-Skripte ausgeführt, die zur Verbreitung des Botnet-Musters führen. Diese Technik wurde bereits 2024 beobachtet, als die Angreifer dieselben Schwachstellen nutzten, um ihre Malware auf die Zielgeräte zu laden.

Technische Kampagnenanalyse

Bei der routinemäßigen Analyse von Kampagnen entdeckte das Qualys Threat Research Team Hinweise auf eine laufende Live-Kampagne für Mirai, die im Juli 2024 begann.

Mithilfe einer FOFA-Abfrage fand Qualys heraus, dass mehr als 1.300 IPs in dieser Kampagne aktiv waren.

Die Mirai-Malware, die hier als Murdoc-Botnet bezeichnet wird, ist eine bekannte Malware-Familie für *nix-Systeme. Sie zielt hauptsächlich auf anfällige AVTECH- und Huawei-Geräte ab. Dieses Botnet nutzt auch einige bestehende Schwachstellen aus (CVE-2024-7029, CVE-2017-17215), um Payloads der nächsten Stufe herunterzuladen.

Das Qualys Threat Research Team entdeckte mehr als 100 verschiedene Server, von denen jeder die Aufgabe hatte, seine Aktivitäten zu entschlüsseln und die Kommunikation mit einer der kompromittierten IPs herzustellen, die an der aktuellen Kampagne beteiligt waren. Diese Server ermöglichten die Verbreitung der Mirai-Malware.

Die Untersuchungen begannen mit der Entdeckung und Analyse von Murdoc-Botnet-Binärdateien, die für DDOS-Aktivitäten verwendet wurden. Mithilfe von Qualys EDR, Threat Intelligence und Open Source Intelligence (OSINT) konnte das Murdoc-Botnet als Mirai-Variante identifiziert werden.

Qualys empfiehlt Anwendern und Administratoren in Unternehmen die folgenden Maßnahmen, um solche Angriffe zu erkennen und sich davor zu schützen:

– Überwachen Sie regelmäßig verdächtige Prozesse, Ereignisse und den Netzwerkverkehr, die durch die Ausführung nicht vertrauenswürdiger Binärdateien/Skripte ausgelöst werden.

– Seien Sie immer vorsichtig bei der Ausführung von Shell-Skripten aus unbekannten oder nicht vertrauenswürdigen Quellen.

– Halten Sie Systeme und Firmware mit den neuesten Versionen und Patches auf dem neuesten Stand.

The Qualys Threat Research Unit has uncovered a large-scale, ongoing operation within the Mirai campaign, dubbed the Murdoc Botnet. This variant exploits vulnerabilities targeting AVTECH cameras and Huawei HG532 routers. It demonstrates advanced capabilities by exploiting vulnerabilities to compromise devices and build extensive botnet networks. In this blog, we will examine the Murdoc botnet’s propagation methods and attack vectors.

Overview of the latest Murdoc botnet campaign and historical timeline

In this latest campaign, note the use of ELF file and shell script execution, which leads to the deployment of the botnet sample. This technique was seen in 2024, when the attackers used the same vulnerabilities to load their malware payload onto the targeted devices.

Technical campaign analysis

During routine hunting analysis, the Qualys Threat Research team uncovered evidence of an ongoing live campaign for Mirai, which commenced in July 2024.

With the help of the below FOFA query, Qualys discovered that around 1300+ IPs were  found active on this campaign.

Mirai malware, here dubbed as Murdoc Botnet, is a prominent malware family for *nix systems. It mainly targets vulnerable AVTECH and Huawei devices. This botnet also uses some existing exploits (CVE-2024-7029CVE-2017-17215) to download the next-stage payloads.

The Qualys Threat Research Team uncovered the presence of 100+ distinct sets of servers, each tasked with deciphering its activities and establishing communication with one of the compromised IPs implicated in this ongoing campaign. These servers facilitated the distribution of Mirai malware.

Research initially started with the discovery and analysis of Murdoc Botnet binaries used for DDOS activities. Using Qualys EDR, threat intelligence data, and open-source intelligence (OSINT), we were able to attribute Murdoc Botnet as a Mirai variant.

Qualys recommends the following measures for enterprise users and administrators to identify and protect against such attacks:

  • Regularly monitor the suspicious processes, events, and network traffic spawned by the execution of any untrusted binary/scripts.
  • Always be cautious in executing shell scripts from unknown or untrusted sources.
  • Keep systems and firmware updated with the latest releases and patches.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner