Μια εξελιγμένη νέα παραλλαγή του botnet Mirai, που ονομάζεται «Broadside», έχει εμφανιστεί ως ενεργή απειλή που στοχεύει ναυτιλιακές εταιρείες και εταιρείες εκμετάλλευσης πλοίων.
Το κακόβουλο λογισμικό εκμεταλλεύεται μια κρίσιμη ευπάθεια στις συσκευές TBK Digital Video Recorder (DVR) που χρησιμοποιούνται για την παρακολούθηση της ασφάλειας σε φορτηγά πλοία και πλοία θαλάσσιας επιμελητείας.
Αυτή η ανακάλυψη σηματοδοτεί μια σημαντική αλλαγή στον τρόπο με τον οποίο λειτουργούν οι σύγχρονες επιθέσεις botnet, ξεπερνώντας τις απλές εκστρατείες άρνησης υπηρεσίας για να συμπεριλάβουν προηγμένες τακτικές συλλογής διαπιστευτηρίων και πλευρικών κινήσεων.
Η καμπάνια Broadside άρχισε να κερδίζει δυναμική τους τελευταίους μήνες, με τους αναλυτές ασφαλείας της Cydome να παρακολουθούν πολλαπλά ενεργά στοιχεία υποδομής.
Το botnet επιδεικνύει ένα επίπεδο πολυπλοκότητας που σπάνια παρατηρείται σε ενημερωμένες παραλλαγές του Mirai, ενσωματώνοντας προσαρμοσμένα πρωτόκολλα εντολών και ελέγχου και προηγμένους μηχανισμούς επιμονής ειδικά σχεδιασμένους για να αποφεύγουν τον εντοπισμό.
.webp.jpeg "Νέα παραλλαγή Mirai Botnet «Broadside» που επιτίθεται ενεργά σε χρήστες στην άγρια φύση")
Σε αντίθεση με προηγούμενες εκδόσεις Mirai που βασίζονταν σε τυπικές μεθόδους επικοινωνίας, το Broadside χρησιμοποιεί μια μοναδική υπογραφή «Magic Header» (0x36694201) κωδικοποιημένη σε κάθε πακέτο ελέγχου, επιτρέποντας την ασφαλή επικοινωνία ενώ παραμένει δύσκολο να εντοπιστεί μέσω της συμβατικής παρακολούθησης δικτύου, όπως διάσημος με Ερευνητές Cydome.
Διάνυσμα επίθεσης
Το αρχικό διάνυσμα επίθεσης εκμεταλλεύεται το CVE-2024-3721, μια κρίσιμη ευπάθεια απομακρυσμένης εντολής-injection in/device.rsp των συστημάτων TBK DVR.
.webp.jpeg "Νέα παραλλαγή Mirai Botnet «Broadside» που επιτίθεται ενεργά σε χρήστες στην άγρια φύση")
Οι εισβολείς στέλνουν ειδικά κατασκευασμένα αιτήματα HTTP POST για να αναπτύξουν ένα σενάριο φόρτωσης που κατεβάζει το δυαδικό λογισμικό κακόβουλου λογισμικού σε πολλές αρχιτεκτονικές επεξεργαστών, συμπεριλαμβανομένων των παραλλαγών ARM, MIPS, x86 και PowerPC.
Μόλις εκτελεστεί, το κακόβουλο λογισμικό αφαιρείται αμέσως από το δίσκο και παραμένει εξ ολοκλήρου στη μνήμη για να αποφευχθεί ο εντοπισμός από εργαλεία ασφαλείας που βασίζονται σε αρχεία.
Αναλυτές και ερευνητές ασφάλειας της Cydome εντόπισαν ότι το Broadside χρησιμοποιεί δύο διαφορετικές μεθόδους παρακολούθησης της διαδικασίας.
Το κακόβουλο λογισμικό επιχειρεί πρώτα να ενεργοποιήσει την “Έξυπνη λειτουργία”, η οποία χρησιμοποιεί υποδοχές πυρήνα Netlink για να λαμβάνει ειδοποιήσεις συστήματος σε πραγματικό χρόνο σχετικά με τη δραστηριότητα της διαδικασίας.
Αυτή η προσέγγιση ελαχιστοποιεί την επιβάρυνση της CPU και επιτρέπει στο bot να λειτουργεί κρυφά. Εάν οι περιορισμοί του πυρήνα εμποδίζουν αυτήν τη μέθοδο, το Broadside μεταβαίνει σε “Λειτουργία πανικού”, σαρώνοντας επιθετικά τον κατάλογο /proc κάθε 0,1 δευτερόλεπτα για να εντοπίσει ανταγωνιστικές διαδικασίες ή εργαλεία ασφαλείας.
Αυτή η προσέγγιση διπλής λειτουργίας διασφαλίζει ότι το κακόβουλο λογισμικό διατηρεί μόνιμο έλεγχο σε μολυσμένα συστήματα ανεξάρτητα από τη διαμόρφωση του συστήματος.
Η λειτουργική μονάδα του κακόβουλου λογισμικού, την οποία οι ερευνητές ονόμασαν «Δικαστής, Έφορος και Εκτελεστής», αναζητά ενεργά ανταγωνιστικά κακόβουλα προγράμματα και πιθανά εργαλεία ασφάλειας, τερματίζοντας οποιεσδήποτε διαδικασίες αντιστοιχούν σε συγκεκριμένα μοτίβα ή αποτυγχάνουν στους εσωτερικούς ελέγχους επικύρωσης.
Η μονάδα διατηρεί τόσο τους μηχανισμούς της λευκής όσο και της μαύρης λίστας στη μνήμη, επιτρέποντάς της να εξαλείφει γρήγορα τις απειλές χωρίς να σαρώνει ξανά ολόκληρο το σύστημα.
Επιπλέον, το Broadside συγκομίζει αρχεία διαπιστευτηρίων κατά την αρχικοποίηση με πρόσβαση στο /etc / passwd και /etc / shadow για να απαριθμήσει τοπικούς λογαριασμούς και να προετοιμαστεί για κλιμάκωση προνομίων και πλευρική μετακίνηση.
Μόλις εγκατασταθεί σε ένα παραβιασμένο DVR, το Broadside εκτοξεύει επιθέσεις πλημμύρας UDP υψηλού ποσοστού που μπορούν να κορεστούν τα θαλάσσια δίκτυα δορυφορικών επικοινωνιών.
Η μονάδα επίθεσης ανοίγει έως και 32 ταυτόχρονες υποδοχές UDP με τυχαίες θύρες πηγής και εφαρμόζει πολυμορφισμό ωφέλιμου φορτίου, αλλάζοντας διακριτικά τις κεφαλίδες πακέτων για να νικήσει τα συστήματα ανίχνευσης που βασίζονται σε στατικές υπογραφές.
Η λειτουργικότητα DDoS δεν τερματίζεται ποτέ φυσικά. Προσαρμόζει συνεχώς τα προφίλ χρονισμού του μέχρι να τερματιστεί η λειτουργία του μολυσμένου συστήματος ή να τερματιστεί αναγκαστικά η διαδικασία.
Ο λειτουργικός αντίκτυπος στα θαλάσσια πλοία εκτείνεται πέρα από την απλή διακοπή του δικτύου. Τα παραβιασμένα DVR διαχειρίζονται συνήθως κρίσιμες τροφοδοσίες CCTV για τη γέφυρα, το μηχανοστάσιο και τα αμπάρια του πλοίου.
Η υποβάθμιση του συστήματος ή ο συμβιβασμός θα μπορούσε να τυφλώσει τα πληρώματα σε συμβάντα φυσικής ασφάλειας, ενώ η εντατική δραστηριότητα DDoS θα μπορούσε να κορεστεί περιορισμένες δορυφορικές ανοδικές ζεύξεις.
Σε δίκτυα με επίπεδη αρχιτεκτονική, τα παραβιασμένα συστήματα CCTV παρέχουν στους εισβολείς ερείσματα για να στραφούν σε πιο ευαίσθητα λειτουργικά συστήματα του πλοίου.
Related Posts
Χάκερ που εκμεταλλεύονται την ευπάθεια του XWiki στη φύση για να προσλάβουν τους διακομιστές για το Botnet
Οι αρχές κατέσχεσαν χιλιάδες διακομιστές από αδίστακτη εταιρεία φιλοξενίας που χρησιμοποιούνταν για να τροφοδοτήσουν κυβερνοεπιθέσεις
Οι αρχές επέβαλαν κυρώσεις σε αλεξίσφαιρο πάροχο φιλοξενίας που εδρεύει στη Ρωσία για υποστήριξη λειτουργιών Ransomware
