
Peneliti keamanan siber telah memperingatkan adanya kampanye baru berskala besar yang mengeksploitasi kelemahan keamanan pada kamera IP AVTECH dan router Huawei HG532 untuk menghubungkan perangkat tersebut ke dalam varian botnet Mirai yang dijuluki Murdoc_Botnet.
Aktivitas yang sedang berlangsung “menunjukkan peningkatan kemampuan, mengeksploitasi kerentanan untuk menyusupi perangkat dan membangun jaringan botnet yang luas,” kata peneliti keamanan Qualys Shilpesh Trivedi dalam sebuah analisis.
Kampanye ini diketahui aktif setidaknya sejak Juli 2024, dengan lebih dari 1.370 sistem terinfeksi hingga saat ini. Mayoritas infeksi terjadi di Malaysia, Meksiko, Thailand, Indonesia, dan Vietnam.

Bukti menunjukkan bahwa botnet memanfaatkan kelemahan keamanan yang diketahui seperti CVE-2017-17215 dan CVE-2024-7029 untuk mendapatkan akses awal ke perangkat Internet of Things (IoT) dan mengunduh muatan tahap berikutnya melalui skrip shell.
Skripnya, mengambil malware botnet dan mengeksekusinya tergantung pada arsitektur CPU. Tujuan akhir dari serangan ini adalah untuk mempersenjatai botnet untuk melakukan serangan penolakan layanan terdistribusi (DDoS).
Perkembangan ini terjadi beberapa minggu setelah varian botnet Mirai bernama gayfemboy ditemukan mengeksploitasi kelemahan keamanan yang baru-baru ini diungkapkan yang berdampak pada router industri Four-Faith sejak awal November 2024. Pada pertengahan tahun 2024, Akamai juga mengungkapkan bahwa CVE-2024-7029 disalahgunakan oleh pelaku kejahatan. untuk memasukkan perangkat AVTECH ke dalam botnet.

Pekan lalu, rincian muncul mengenai kampanye serangan DDoS skala besar lainnya yang menargetkan perusahaan dan bank besar Jepang sejak akhir tahun 2024 dengan memanfaatkan botnet IoT yang dibentuk dengan mengeksploitasi kerentanan dan kredensial yang lemah. Beberapa target lainnya terkonsentrasi di Amerika Serikat, Bahrain, Polandia, Spanyol, Israel, dan Rusia.
Aktivitas DDoS diketahui hanya menyerang sektor telekomunikasi, teknologi, hosting, komputasi awan, perbankan, permainan, dan jasa keuangan. Lebih dari 55% perangkat yang disusupi berlokasi di India, diikuti oleh Afrika Selatan, Brasil, Bangladesh, dan Kenya.

“Botnet tersebut terdiri dari varian malware yang berasal dari Mirai dan BASHLITE,” kata Trend Micro. “Perintah botnet mencakup perintah yang dapat menggabungkan berbagai metode serangan DDoS, memperbarui malware, dan mengaktifkan layanan proxy.”
Serangan tersebut melibatkan infiltrasi perangkat IoT untuk menyebarkan malware loader yang mengambil muatan sebenarnya, yang kemudian terhubung ke server perintah dan kontrol (C2) dan menunggu instruksi lebih lanjut untuk serangan DDoS dan tujuan lainnya.
Untuk melindungi dari serangan tersebut, disarankan untuk memantau proses, kejadian, dan lalu lintas jaringan mencurigakan yang dihasilkan oleh eksekusi biner/skrip yang tidak tepercaya. Disarankan juga untuk menerapkan pembaruan firmware dan mengubah nama pengguna dan kata sandi default.