Mehrere Malware-Bedrohungen zielen auf Cacti- und Realtek-Schwachstellen ab

Experten für Cybersicherheit haben in letzter Zeit eine deutliche Zunahme der Aktivität von Botnetzen festgestellt, die Malware verbreiten und anfällige Netzwerkgeräte angreifen. Diese Angriffe übertragen die ShellBot- und Moobot-Malware, indem sie Schwachstellen in zwei Software-Tools ausnutzen: das Realtek Jungle SDK und das Cacti-Tool zur Überwachung des Fehlermanagements.

Die beiden Schwachstellen CVE-2021-35394 und CVE-2022-46169 werden als äußerst kritisch eingestuft, da sie es Angreifern ermöglichen, Code aus der Ferne auszuführen. CVE-2022-46169 ist ein Fehler, der es Angreifern ermöglicht, die Authentifizierung zu umgehen und Befehle in Cacti-Server einzuschleusen, während CVE-2021-35394 eine Schwachstelle ist, die das Einschleusen beliebiger Befehle in das Realtek Jungle SDK ermöglicht. Es ist erwähnenswert, dass andere Botnet-Software wie Fodcha, RedGoBot, Mirai, Gafgyt und Mozi diese Sicherheitslücken bereits ausgenutzt haben.

Laut einer Untersuchung von Fortinet FortiGuard Labs haben Cyber-Angreifer die Schwachstellen ausgenutzt, um die Malware ShellBot (auch bekannt als PerlBot) und MooBot zu verbreiten. Obwohl die Schwachstelle bereits zur Verbreitung von Mirai, Gafgyt, Mozi und RedGoBot genutzt wurde, ist dies das erste Mal, dass sie zur Verbreitung von MooBot genutzt wurde, einer Mirai-Version, die seit 2019 aktiv ist.

Moobot infiziert anfällige Hosts, indem er CVE-2022-46169 und CVE-2021-35394 ausnutzt. Wenn Moobot einen Rechner infiziert, lädt er ein Skript mit seinem Setup herunter und verbindet sich mit dem C2-Server. Danach sendet der Virus so lange Heartbeat-Nachrichten, bis er einen Befehl erhält und dann seinen Angriff startet. Da Moobot in der Lage ist, nach Prozessen anderer Botnets zu suchen und diese zu beenden, kann er die Hardwareressourcen des befallenen Hosts optimieren und DDoS-Angriffe durchführen.

ShellBot hingegen ist in erster Linie auf die Ausnutzung der Cacti-Schwachstelle ausgerichtet. Fortinet entdeckte drei verschiedene Versionen von ShellBot, was darauf hindeutet, dass er aktiv entwickelt wird. Die erste Version stellt eine Verbindung zum C2-Server her und wartet auf Befehle zur Durchführung verschiedener Operationen wie Port-Scanning, Entfernen von Dateien und Ordnern, Übermittlung von Versionsinformationen, Herunterladen einer Datei, Initiierung von UDP-DDoS-Angriffen oder Einschleusen einer Reverse Shell. Die zweite Version enthält einen breiteren Satz von Anweisungen sowie ein Modul zur Aktualisierung von Exploits, das Daten aus öffentlichen Hinweisen und Nachrichten von PacketStorm und milw0rm bezieht.

Aus dem Fortinet-Bericht geht nicht ausdrücklich hervor, ob Moobot und ShellBot von denselben Bedrohungsakteuren verbreitet wurden. Es wurde jedoch beobachtet, dass die Nutzdaten dieselben Schwachstellen in sich überschneidenden Angriffen ausnutzen. Die empfohlene Maßnahme zur Abwehr von Mootbot und ShellBot besteht in der Verwendung sicherer Administratorkennwörter und der Anwendung der Sicherheitsupdates, die die genannten Schwachstellen beheben. Wenn Ihr Gerät von seinem Hersteller nicht mehr unterstützt wird, sollten Sie es durch ein neueres Modell ersetzen, um Sicherheitsupdates zu erhalten.

Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.

Zusammenfassung

Artikel Name

Mehrere Malware-Bedrohungen zielen auf Cacti- und Realtek-Schwachstellen ab

Beschreibung

Experten für Cybersicherheit haben in letzter Zeit eine deutliche Zunahme der Aktivitäten von Botnetzen festgestellt, die Malware verbreiten.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers