Botnet Murdoc: Variante do Mirai explora câmeras IP da AVTECH e roteadores Huawei

Pesquisadores de cibersegurança alertaram sobre uma nova campanha em larga escala que explora falhas de segurança em câmeras IP da AVTECH e roteadores Huawei HG532, conectando esses dispositivos a uma variante do botnet Mirai, chamada de Murdoc Botnet.

A atividade em andamento "demonstra capacidades aprimoradas, explorando vulnerabilidades para comprometer dispositivos e estabelecer redes botnet expansivas", explicou Shilpesh Trivedi, pesquisador de segurança da Qualys, em uma análise.

A campanha está ativa desde, pelo menos, julho de 2024, com mais de 1.370 sistemas infectados até o momento. A maior parte das infecções foi localizada na Malásia, México, Tailândia, Indonésia e Vietnã.

Evidências mostram que o botnet utiliza vulnerabilidades conhecidas, como CVE-2017-17215 e CVE-2024-7029, para obter acesso inicial a dispositivos da Internet das Coisas (IoT) e baixar o payload da próxima etapa por meio de um script shell.

O script, por sua vez, obtém o malware do botnet e o executa dependendo da arquitetura do processador. O objetivo final desses ataques é utilizar o botnet para realizar ataques de negação de serviço distribuído (DDoS).

Esse desenvolvimento ocorre poucas semanas após a descoberta de uma variante do botnet Mirai chamada gayfemboy, que explorou uma vulnerabilidade divulgada recentemente, afetando roteadores industriais Four-Faith desde o início de novembro de 2024. No meio de 2024, a Akamai também revelou que a falha CVE-2024-7029 foi explorada por hackers para incorporar dispositivos AVTECH em um botnet.

Na semana passada, surgiram detalhes sobre outra campanha de ataque DDoS em larga escala que visou grandes corporações e bancos japoneses desde o final de 2024, explorando vulnerabilidades e credenciais fracas em dispositivos IoT. Outros alvos incluem organizações nos Estados Unidos, Bahrein, Polônia, Espanha, Israel e Rússia.

As atividades de DDoS têm como foco os setores de telecomunicações, tecnologia, hospedagem, computação em nuvem, bancos, jogos e serviços financeiros. Mais de 55% dos dispositivos comprometidos estão localizados na Índia, seguidos por África do Sul, Brasil, Bangladesh e Quênia.

"O botnet inclui variantes de malware derivadas do Mirai e do BASHLITE", afirmou a Trend Micro. "Os comandos do botnet incluem métodos diversos de ataque DDoS, atualização de malware e ativação de serviços de proxy."

Os ataques consistem em infiltrar dispositivos IoT para implantar um malware de carregamento que baixa o payload real. Esse payload, então, se conecta a um servidor de comando e controle (C2) e aguarda instruções para realizar ataques DDoS e outras ações.

Para se proteger contra esses ataques, é recomendado monitorar processos suspeitos, eventos e tráfego de rede gerados pela execução de scripts ou binários não confiáveis. Além disso, é essencial aplicar atualizações de firmware e alterar o nome de usuário e a senha padrão

Via - THN