Das C0XMO-Botnetz nimmt anfällige DD-WRT-Router in einer Kampagne ins Visier, die weit über gewöhnliche Malware-Infektionen hinausgeht. Sicherheitsforscher haben entdeckt, dass die Schadsoftware nicht nur Geräte kompromittiert, sondern auch aktiv nach konkurrierender Malware sucht und diese von bereits infizierten Systemen entfernt.
Diese Vorgehensweise verschafft den Angreifern die exklusive Kontrolle über kompromittierte Geräte und hilft dem Botnetz gleichzeitig, zu einem größeren und stabileren Netzwerk heranzuwachsen.
Botnetz nutzt bekannte Router-Schwachstelle aus
Forscher haben die Kampagne mit einer Variante der Malware-Familie Gafgyt in Verbindung gebracht, einem Botnetz, das seit Jahren internetfähige Geräte angreift. Die aktuelle Aktivität nutzt CVE-2021-27137 aus, eine Schwachstelle zur Remotecodeausführung in der DD-WRT-Firmware.
Sobald die Angreifer Zugriff erhalten, installiert sich die Schadsoftware selbst und beginnt mit der Kommunikation zu ihrer Command-and-Control-Infrastruktur. Das infizierte Gerät wird anschließend Teil eines größeren Botnetzes, das für weitere schädliche Aktivitäten eingesetzt werden kann.
Obwohl die Schwachstelle bereits mehrere Jahre alt ist, bleiben viele Geräte verwundbar, weil ihre Besitzer verfügbare Firmware-Updates nicht installiert haben.
Die Malware beseitigt die Konkurrenz
Was das C0XMO-Botnetz von vielen ähnlichen Bedrohungen unterscheidet, ist sein aggressiver Ansatz zur Entfernung konkurrierender Malware.
Forscher stellten fest, dass die Schadsoftware infizierte Systeme nach rivalisierenden Botnetzen und schädlichen Prozessen durchsucht. Erkennt C0XMO konkurrierende Malware, versucht sie, deren Prozesse zu beenden und eine erneute Kontrolle über das Gerät zu verhindern.
Dieser Ansatz ermöglicht es den Angreifern, sämtliche Systemressourcen ausschließlich für ihre eigene Operation zu nutzen. Gleichzeitig werden Konflikte reduziert, die entstehen können, wenn mehrere Malware-Familien dasselbe Gerät kontrollieren möchten.
Die Taktik macht infizierte Router faktisch zu exklusiven Ressourcen für die Betreiber des Botnetzes.
Kampagne unterstützt mehrere Architekturen
Die Schadsoftware wurde für verschiedene Prozessorarchitekturen kompiliert und kann dadurch eine breite Palette internetfähiger Geräte infizieren.
Forscher beobachteten Varianten, die unterschiedliche Hardwareplattformen angreifen, wie sie häufig in Routern, Embedded-Systemen und anderen netzwerkverbundenen Geräten zum Einsatz kommen. Diese Flexibilität ermöglicht es dem Botnetz, sich über eine einzelne Gerätekategorie hinaus auszubreiten und die Zahl potenzieller Opfer zu erhöhen.
Eine separate Scan-Komponente hilft zudem dabei, verwundbare Ziele zu identifizieren und die weitere Verbreitung über exponierte Systeme zu unterstützen.
Alte Schwachstellen treiben Botnetze weiterhin an
Die Kampagne verdeutlicht ein wiederkehrendes Problem in der Cybersicherheitslandschaft. Bedrohungsakteure setzen häufig auf ältere Schwachstellen, weil viele Geräte noch Jahre nach der Veröffentlichung von Sicherheitsupdates ungepatcht bleiben.
Router sind besonders attraktive Ziele, da sie oft rund um die Uhr betrieben werden und weniger Aufmerksamkeit erhalten als Computer oder Smartphones. Nach einer erfolgreichen Kompromittierung können sie langfristigen Zugriff und wertvolle Rechenressourcen für Botnetzbetreiber bereitstellen.
Forscher empfehlen, Firmware-Updates einzuspielen, unnötige Fernverwaltungsfunktionen zu deaktivieren und Standardzugangsdaten zu ersetzen, um das Risiko zu verringern.
Fazit
Das C0XMO-Botnetz zeigt, wie Angreifer etablierte Malware-Familien kontinuierlich weiterentwickeln. Durch die Ausnutzung anfälliger DD-WRT-Router und die aktive Entfernung konkurrierender Malware schaffen die Betreiber der Kampagne ein effizienteres und widerstandsfähigeres Botnetz. Die Aktivität erinnert zudem daran, dass veraltete Netzwerkgeräte für Cyberkriminelle noch lange nach der öffentlichen Bekanntgabe von Schwachstellen attraktive Ziele bleiben.
0 Kommentare zu „C0XMO-Botnetz kapert Router und entfernt konkurrierende Malware“