Il SIRT (Security Intelligence Response Team) di Akamai gestisce più honeypot in tutto il mondo per scoprire quali minacce stanno sfruttando attivamente i nostri clienti e Internet in generale. A fine ottobre 2023, Akamai ha notato un piccolo aumento dell’attività dei loro honeypot destinati a una porta TCP utilizzata raramente. L’attività è iniziata con una piccola crescita, con un picco di 20 tentativi al giorno, per poi ridursi a una media di due o tre al giorno, mentre alcuni giorni sono stati completamente privi di tentativi.
Attraverso gli honeypot personalizzati e gestiti, il SIRT di Akamai ha identificato due vulnerabilità zero-day utilizzate per diffondere le varianti Mirai JenX e hailBot, le quali vengono attivamente sfruttate per creare una botnet DDoS. Il payload si rivolge a dispositivi con credenziali di amministrazione predefinite e può essere eseguito da remoto. Le due vulnerabilità sono state segnalate ai fornitori e Akamai sta aspettando aggiornamenti sui modelli interessati e sulla disponibilità delle patch da parte dei fornitori (previsti per dicembre 2023) prima di poter rilasciare maggiori dettagli.
La botnet è impegnata in una campagna di lunga durata che Akamai SIRT monitora dalla fine del 2022 sui nostri honeypot personalizzati. Il payload prende di mira router e dispositivi di registrazione video di rete (NVR) con credenziali di amministratore predefinite e installa le varianti Mirai una volta completata l’operazione.
L’attore della minaccia, vanta il numero di bot, la maggior parte dei quali sono Telnet (9781 bot), Vacron (6791 bot), Ntel (4877 bot) e UTT-Bot (1515 bot). Qualsiasi persona o organizzazione che utilizzi l’hardware interessato con le credenziali di amministrazione predefinite è vulnerabile, compresi gli ISP. Le sonde dannose hanno inizialmente tentato di autenticarsi tramite una richiesta POST per poi eseguire un’iniezione di comandi. Molti degli indirizzi C2 rilevati e le risoluzioni del dominio C2 corrispondono a IP che rientrano nel blocco CIDR 5.181.80.0/24. Le applicazioni sono in grado di autenticarsi e di eseguire un’iniezione di comandi in remoto tramite il parametro timeserver.
I ricercatori di Akamai continueranno a monitorare queste e altre minacce e forniranno ulteriori informazioni non appena si presenteranno. Aggiornamenti in tempo reale su ulteriori ricerche sono disponibili sul canale Twitter di Akamai.
