En variant af Mirai DDoS-malware udvider sine mål med 13 router-udnyttelser. En Mirai-baseret DDoS (distribueret tjenestenægtelses) malware botnet, der er kendt som IZ1H9, har tilføjet tretten nye nyttelaster for at angribe Linux-baserede routere samt routere fra D-Link, Zyxel, TP-Link, TOTOLINK og andre.

Forskere fra Fortinet rapporterer, at de observerede en spids i udnyttelsesraterne omkring første uge af september, hvor der blev foretaget titusinder af udnyttelsesforsøg mod sårbare enheder.

IZ1H9 kompromitterer enheder for at inkludere dem i sin DDoS-sværm og lancerer derefter DDoS-angreb mod specificerede mål, sandsynligvis på ordre fra klienter, der lejer dens styrke.

Observerede udnyttelsesforsøg i hele september. Omfattende målretning af IoT-enheder.

Jo flere enheder og sårbarheder, der bliver mål for en DDoS-malware, jo større er potentialet for at opbygge et stort og kraftfuldt botnet, der er i stand til at levere massive angreb mod hjemmesider.

I tilfælde af IZ1H9 rapporterer Fortinet, at den bruger udnyttelser for følgende sårbarheder, dateret fra 2015 til 2023:

• D-Link devices: CVE-2015-1187, CVE-2016-20017, CVE-2020-25506, CVE-2021-45382

• Netis WF2419: CVE-2019-19356

• Sunhillo SureLine (versions before 8.7.0.1.1): CVE-2021-36380

• Geutebruck products: CVE-2021-33544, CVE-2021-33548, CVE-2021-33549, CVE-2021-33550, CVE-2021-33551, CVE-2021-33552, CVE-2021-33553, CVE-2021-33554

• Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562

• Zyxel EMG3525/VMG1312 (before V5.50): CVE not specified but targets the Zyxel device’s /bin/zhttpd/ component vulnerability

• TP-Link Archer AX21 (AX1800): CVE-2023-1389

• Korenix JetWave wireless AP: CVE-2023-23295

• TOTOLINK routers: CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083

Sådan foregår angrebe

Efter at have udnyttet en af de nævnte CVE'er, injiceres en IZ1H9 nyttelast i enheden, der indeholder en kommando til at hente en skalleskriftsdownloader ved navn "l.sh" fra en angivet URL.

Ved eksekvering slettes logfilerne for at skjule den ondsindede aktivitet, og derefter hentes botklienter skræddersyet til forskellige systemarkitekturer.

Endelig ændrer skriptet enhedens iptables-regler for at blokere forbindelsen på specifikke porte og gøre det sværere at fjerne malwaren fra enheden.

Efter at have udført alt det ovenstående opretter robotten kommunikation med C2 (kommando- og kontrol) serveren og venter på kommandoer til udførelse.

De understøttede kommandoer vedrører typen af DDoS-angreb, der skal iværksættes, herunder UDP, UDP Plain, HTTP-flod og TCP SYN. Fortinet rapporterer også, at IZ1H9 har en dataafsnit med hardcodede legitimationsoplysninger, der bruges til brute-force angreb. Disse angreb kan være nyttige til spredning til tilstødende enheder eller til godkendelse af IoT-enheder, hvor den ikke har en fungerende udnyttelse.

Ejere af IoT-enheder anbefales at bruge stærke administratorlegitimationsoplysninger, opdatere dem til den nyeste tilgængelige firmwareversion og om muligt begrænse deres eksponering for det offentlige internet.