C0XMO-botnettet retter sig mod sårbare DD-WRT-routere i en kampagne, der går længere end traditionelle malwareinfektioner. Sikkerhedsforskere har opdaget, at skadevaren ikke blot kompromitterer enheder, men også aktivt søger efter og fjerner konkurrerende malware, som allerede kører på de inficerede systemer.
Denne metode giver angriberne eksklusiv kontrol over kompromitterede enheder og hjælper samtidig botnettet med at vokse til et større og mere stabilt netværk.
Botnettet udnytter en kendt routersårbarhed
Forskere har knyttet kampagnen til en variant af malwarefamilien Gafgyt, et botnet som i årevis har rettet sig mod internetforbundne enheder. Den seneste aktivitet udnytter CVE-2021-27137, en sårbarhed for fjernudførelse af kode i DD-WRT-firmware.
Når angriberne opnår adgang, installerer skadevaren sig selv og begynder at kommunikere med kommando- og kontrolinfrastrukturen. Den inficerede enhed bliver derefter en del af et større botnet, som kan anvendes til yderligere skadelig aktivitet.
Selvom sårbarheden er flere år gammel, er mange enheder fortsat eksponerede, fordi ejerne ikke har installeret de tilgængelige firmwareopdateringer.
Skadevaren eliminerer konkurrenterne
Det, der adskiller C0XMO-botnettet fra mange lignende trusler, er den aggressive indsats for at fjerne konkurrerende malware.
Forskere har konstateret, at skadevaren scanner inficerede systemer efter rivaliserende botnets og skadelige processer. Når den opdager konkurrerende malware, forsøger C0XMO at afslutte processerne og forhindre dem i at generobre kontrollen over enheden.
Denne tilgang gør det muligt for angriberne at anvende systemressourcerne udelukkende til deres egen operation. Den reducerer også konflikter, som kan opstå, når flere malwarefamilier forsøger at kontrollere den samme enhed.
Taktikken gør i praksis de inficerede routere til eksklusive aktiver for botnettets operatører.
Kampagnen understøtter flere arkitekturer
Skadevaren er blevet kompileret til flere processorarkitekturer, hvilket gør den i stand til at inficere en bred vifte af internetforbundne enheder.
Forskere har observeret versioner, der retter sig mod forskellige hardwareplatforme, som ofte findes i routere, indlejrede systemer og andet netværksforbundet udstyr. Denne fleksibilitet gør det muligt for botnettet at sprede sig ud over én enkelt enhedskategori og øger antallet af potentielle ofre.
En separat scanningskomponent hjælper desuden med at identificere sårbare mål og understøtter yderligere spredning til eksponerede systemer.
Gamle sårbarheder driver stadig botnets
Kampagnen fremhæver et tilbagevendende problem inden for cybersikkerhed. Trusselsaktører udnytter ofte ældre sårbarheder, fordi mange enheder forbliver uopdaterede længe efter, at sikkerhedsrettelser er blevet tilgængelige.
Routere er særligt attraktive mål, fordi de ofte kører døgnet rundt og får mindre opmærksomhed end computere og smartphones. Når en router først er kompromitteret, kan den give langsigtet adgang og værdifulde ressourcer til botnettets operatører.
Forskere anbefaler at installere firmwareopdateringer, deaktivere unødvendige funktioner til fjernadministration og udskifte standardloginoplysninger for at reducere risikoen.
Konklusion
C0XMO-botnettet viser, hvordan angribere fortsætter med at videreudvikle etablerede malwarefamilier. Ved at udnytte sårbare DD-WRT-routere og aktivt fjerne konkurrerende malware opbygger operatørerne bag kampagnen et mere effektivt og modstandsdygtigt botnet. Aktiviteten fungerer samtidig som en påmindelse om, at ældre netværksudstyr fortsat er et værdifuldt mål for cyberkriminelle længe efter, at sårbarhederne er blevet offentliggjort.
0 svar til “C0XMO-botnet kaprer routere og fjerner konkurrerende malware”