Dark Mirai Botnet

Malgré la fermeture du botnet Mirai il y a des années, son héritage continue de perdurer. Après la publication du code source du botnet, de nombreux cybercriminels l'ont utilisé comme base pour créer leurs propres versions du malware. L'une des ramifications de Mirai qui est toujours active est suivie par la communauté infosec sous le nom de Dark Mirai (alias MANGA). Et selon les chercheurs de Fortinet qui surveillent les activités de ce botnet, ses opérateurs continuent de le doter de nouvelles vulnérabilités à exploiter.

L'un des derniers à avoir été ajouté au Dark Mirai a un impact sur une gamme de routeurs domestiques TP-Link populaires. Plus précisément, le modèle concerné est le TL-WR840N EU V5 publié en 2017. La vulnérabilité particulière - CVE-2021-41653 permet à un utilisateur authentifié d'exécuter des commandes sur l'appareil en raison d'une variable « hôte » vulnérable. Il convient de noter que TP-Link a résolu le problème avec la publication d'une mise à jour du firmware le 12 novembre 2021, de sorte que les pirates de Dark Mirai misent sur les utilisateurs qui ne mettent pas à jour leurs appareils et restent vulnérables.

Après avoir découvert un appareil approprié, les attaquants exploiteront la vulnérabilité CVE-2021-41653 pour télécharger puis exécuter un script nommé « tshit.sh ». Ce script est ensuite chargé de récupérer les charges utiles principales via deux requêtes. Étant donné que les attaquants doivent être authentifiés, les utilisateurs qui utilisent toujours les informations d'identification par défaut pour leur routeur sont les plus susceptibles d'être compromis.

Une fois déployé, le Dark Mirai identifiera l'architecture du routeur infecté, puis procédera à la récupération d'une charge utile appropriée. La menace isolera ensuite l'appareil des infiltrations potentielles d'autres botnets concurrents en fermant plusieurs ports couramment ciblés. Le Dark Mirai restera alors en sommeil, attendant les commandes de son serveur de commandement et de contrôle (C&C).