Dark Mirai Botnet

Miraiボットネットは数年前にシャットダウンされましたが、その遺産は存続しています。ボットネットのソースコードがリリースされた後、多くのサイバー犯罪者は、マルウェアの独自のバージョンを作成するための基礎としてボットネットを使用しました。まだ活動しているMiraiの派生物の1つは、infosecコミュニティによってDark Mirai（別名MANGA）として追跡されています。また、このボットネットの活動を監視しているフォーティネットの研究者によると、そのオペレーターは、悪用するための新しい脆弱性をボットネットに装備し続けています。

Dark Miraiに追加される最新の1つは、人気のあるTP-Linkホームルーターのラインに影響を与えます。具体的には、影響を受けるモデルは2017年にリリースされたTL-WR840N EU V5です。特定の脆弱性-CVE-2021-41653では、脆弱な「ホスト」変数が原因で、認証されたユーザーがデバイス上でコマンドを実行できます。 TP-Linkは、2021年11月12日にファームウェアアップデートをリリースすることで問題に対処したため、Dark Miraiハッカーは、デバイスをアップデートせず、脆弱なままであるユーザーを利用していることに注意してください。

攻撃者は適切なデバイスを発見すると、CVE-2021-41653の脆弱性を悪用して、「tshit.sh」という名前のスクリプトをダウンロードして実行します。このスクリプトは、2つのリクエストを介してメインペイロードをフェッチする役割を果たします。攻撃者を認証する必要があるため、ルーターのデフォルトの資格情報をまだ使用しているユーザーが、侵害される可能性が最も高くなります。

デプロイされると、Dark Miraiは感染したルーターのアーキテクチャを識別し、適切なペイロードのフェッチに進みます。次に、脅威は、一般的に標的とされるいくつかのポートをシャットダウンすることにより、他の競合するボットネットからの潜在的な侵入からデバイスを隔離します。その後、Dark Miraiは休止状態を維持し、コマンドアンドコントロール（C＆C）サーバーからのコマンドを待ちます。