Neue Botnet-Bedrohung: Murdoc missbraucht IoT-Geräte : Murdoc-Botnet kapert Kameras und Router für Cyberangriffe
Eine massive Angriffskampagne nutzt Schwachstellen in AVTECH IP-Kameras und Huawei HG532-Routern aus, um diese in das gefährliche Murdoc Botnet – eine neue Variante des berüchtigten Mirai-Botnets – einzubinden.
Die laufende Angriffskampagne „zeigt beeindruckende Fähigkeiten, indem sie gezielt Schwachstellen ausnutzt, um Geräte zu kapern und große Botnetze aufzubauen“, erklärt der Sicherheitsexperte Shilpesh Trivedi von Qualys in einer Analyse. Die Kampagne läuft nachweislich seit Juli 2024 und hat bisher mindestens 1.370 Systeme infiziert. Die meisten betroffenen Geräte befinden sich in Malaysia, Mexiko, Thailand, Indonesien und Vietnam.
Das Botnet nutzt bekannte Sicherheitslücken wie CVE-2017-17215 und CVE-2024-7029 aus, um Zugang zu IoT-Geräten zu erhalten. Anschließend wird ein Shell-Skript ausgeführt, das die nächste Schadsoftware-Stufe herunterlädt. Das Skript passt die Botnet-Malware an die CPU-Architektur des Geräts an und führt sie aus. Ziel dieser Angriffe ist es, das Botnet für Distributed-Denial-of-Service-Angriffe (DDoS) einzusetzen.
Weitere aktuelle Aktivitäten aus der Mirai-Familie
Die jüngsten Entwicklungen folgen nur wenige Wochen nach der Entdeckung einer neuen Mirai-Botnet-Variante namens „gayfemboy“, die seit November 2024 eine kürzlich entdeckte Schwachstelle in Four-Faith-Industrie-Routern ausnutzt. Bereits Mitte 2024 hatte Akamai aufgedeckt, dass Angreifer die Schwachstelle CVE-2024-7029 genutzt hatten, um AVTECH-Geräte in ein Botnet einzubinden.
Erst kürzlich wurden Details über eine weitere großangelegte DDoS-Angriffskampagne bekannt, die seit Ende 2024 große japanische Unternehmen und Banken ins Visier nimmt. Diese Angriffe basieren auf einem IoT-Botnet, das Sicherheitslücken und schwache Zugangsdaten ausnutzt. Weitere Ziele der Angriffe wurden in den USA, Bahrain, Polen, Spanien, Israel und Russland identifiziert.
Die DDoS-Aktivitäten richten sich vor allem gegen die Branchen Telekommunikation, Technologie, Hosting, Cloud-Computing, Banken, Gaming und Finanzdienstleistungen. Über 55 Prozent der betroffenen Geräte befinden sich in Indien, gefolgt von Südafrika, Brasilien, Bangladesch und Kenia.
Laut Trend Micro besteht das Botnet aus Malware-Varianten, die von Mirai und BASHLITE abgeleitet wurden. Es verfügt über Befehle für verschiedene DDoS-Angriffsmethoden, das Aktualisieren von Schadsoftware und die Aktivierung von Proxy-Diensten.
Die Angriffe zielen darauf ab, IoT-Geräte zu infiltrieren, indem zunächst Loader-Malware eingeschleust wird. Diese lädt die eigentliche Schadsoftware nach, verbindet sich mit einem Command-and-Control-Server (C2) und wartet auf Anweisungen für DDoS-Angriffe oder andere Einsatzzwecke.
Zum Schutz vor solchen Angriffen wird empfohlen, verdächtige Prozesse, Ereignisse und Netzwerkaktivitäten zu überwachen, die auf die Ausführung nicht vertrauenswürdiger Skripte oder Dateien hinweisen könnten. Zusätzlich sollten Firmware-Updates eingespielt und Standard-Benutzernamen sowie -Passwörter geändert werden.