Varian botnet Mirai ditemukan mengeksploitasi kelemahan keamanan yang baru terungkap yang berdampak pada router industri Four-Faith sejak awal November 2024 dengan tujuan melakukan serangan penolakan layanan terdistribusi (DDoS).
Botnet ini mengelola sekitar 15.000 alamat IP aktif setiap hari, dengan infeksi terutama tersebar di Tiongkok, Iran, Rusia, Turki, dan Amerika Serikat.
Memanfaatkan lebih dari 20 kerentanan keamanan yang diketahui dan kredensial Telnet yang lemah untuk akses awal, malware ini diketahui telah aktif sejak Februari 2024. Botnet ini dijuluki “gayfemboy” mengacu pada istilah ofensif yang ada dalam kode sumber.
QiAnXin XLab mengatakan pihaknya mengamati malware tersebut memanfaatkan kerentanan zero-day di router industri yang diproduksi oleh Four-Faith yang berbasis di Tiongkok untuk mengirimkan artefak tersebut pada awal 9 November 2024.
Kerentanan yang dimaksud adalah CVE-2024-12856 (skor CVSS: 7.2), yang mengacu pada bug injeksi perintah sistem operasi (OS) yang memengaruhi model router F3x24 dan F3x36 dengan memanfaatkan kredensial default yang tidak berubah.
Akhir bulan lalu, VulnCheck mengatakan kepada The Hacker News bahwa kerentanan telah dieksploitasi secara liar untuk menjatuhkan shell terbalik dan muatan mirip Mirai pada perangkat yang disusupi.
Beberapa kelemahan keamanan lain yang dieksploitasi oleh botnet untuk memperluas jangkauan dan skalanya termasuk CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017 -5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956, dan CVE-2024-8957.
Setelah diluncurkan, malware tersebut berupaya menyembunyikan proses jahat dan mengimplementasikan format perintah berbasis Mirai untuk memindai perangkat yang rentan, memperbarui dirinya sendiri, dan meluncurkan serangan DDoS terhadap target yang diinginkan.
Serangan DDoS yang memanfaatkan botnet telah menargetkan ratusan entitas berbeda setiap hari, dengan aktivitas mencapai puncak baru pada bulan Oktober dan November 2024. Serangan tersebut, meskipun berlangsung antara 10 dan 30 detik, menghasilkan lalu lintas sekitar 100 Gbps.
Pengungkapan ini terjadi beberapa minggu setelah Juniper Networks memperingatkan bahwa produk Session Smart Router (SSR) dengan kata sandi default menjadi sasaran pelaku jahat untuk menjatuhkan malware botnet Mirai. Akamai juga mengungkapkan infeksi malware Mirai yang mempersenjatai kelemahan eksekusi kode jarak jauh di DVR DigiEver.
“DDoS telah menjadi salah satu bentuk serangan siber yang paling umum dan merusak,” kata peneliti XLab. “Mode serangannya beragam, jalur serangannya sangat tersembunyi, dan mereka dapat menggunakan strategi dan teknik yang terus berkembang untuk melakukan serangan yang tepat terhadap berbagai industri dan sistem, sehingga menimbulkan ancaman signifikan terhadap perusahaan, organisasi pemerintah, dan pengguna individu.”
Perkembangan ini juga terjadi ketika pelaku ancaman memanfaatkan server PHP yang rentan dan salah dikonfigurasi (misalnya, CVE-2024-4577) untuk menyebarkan penambang mata uang kripto yang disebut PacketCrypt.
