Descoberta nova operação que faz parte da campanha Mirai

A Qualys divulgou uma operação em curso e em grande escala, denominada Murdoc_Botnet, que foi demonstrada como parte da campanha Mirai. Detetada pela Unidade de Investigação de Ameaças (TRU) da Qualys, a nova variante mostra capacidades melhoradas para comprometer dispositivos e estabelecer botnets expansivas.

Descoberto em 2016, posteriormente adormecido e detetado pela última vez em julho de 2024, o Mirai é um malware persistente que infecta dispositivos IoT, transformando-os em botnets controlados remotamente que depois são utilizados para lançar ataques DDoS. Durante uma recente análise de rotina, a equipa de investigação da Qualys descobriu a nova campanha ativa, com mais de 1.300 IP envolvidos, afetando as câmaras AVTech e os routers Huawei (especificamente, os do modelo HG532). Através dos dados do serviço Qualys EDR e de OSINT, os especialistas da Qualys comprovaram que o Murdoc_Botnet é uma variante do Mirai.

Na nova campanha, o “Murdoc_Botnet” utiliza algumas explorações existentes, tais como a vulnerabilidade CVE-2024-7029 e CVE-2017-17215 para injetar cargas úteis. Nesta análise, foram encontrados mais de cem conjuntos de servidores responsáveis pela comunicação com os IP comprometidos. Quanto ao fluxo de infeção, este é baseado em ficheiros ELF e ShellScript: o ficheiro é carregado no dispositivo, após o que o servidor C2 se encarrega de instalar o botnet.

“O malware Mirai explora problemas de segurança em dispositivos IoT, o que lhe dá a capacidade de transformar o poder coletivo de milhões de dispositivos em botnets com um alcance global. Apenas a utilização de tecnologias avançadas pode proporcionar uma defesa proativa”, explica Sergio Pedroche, Country Manager da Qualys Ibéria, em comunicado.