C0XMO-botnettet retter seg mot sårbare DD-WRT-rutere i en kampanje som går lenger enn vanlige malwareinfeksjoner. Sikkerhetsforskere har oppdaget at skadevaren ikke bare kompromitterer enheter, men også aktivt leter etter og fjerner konkurrerende skadevare som allerede kjører på infiserte systemer.
Denne metoden gir angriperne eksklusiv kontroll over kompromitterte enheter samtidig som botnettet kan vokse til et større og mer stabilt nettverk.
Botnettet utnytter en kjent rutersårbarhet
Forskere har koblet kampanjen til en variant av skadevarefamilien Gafgyt, et botnett som i flere år har rettet seg mot internett-tilkoblede enheter. Den nyeste aktiviteten utnytter CVE-2021-27137, en sårbarhet for ekstern kjøring av kode i DD-WRT-fastvaren.
Når angriperne får tilgang, installerer skadevaren seg selv og begynner å kommunisere med kommando- og kontrollinfrastrukturen. Den infiserte enheten blir deretter en del av et større botnett som kan brukes til ytterligere skadelig aktivitet.
Selv om sårbarheten er flere år gammel, er mange enheter fortsatt eksponert fordi eierne ikke har installert tilgjengelige fastvareoppdateringer.
Skadevaren eliminerer konkurrentene
Det som skiller C0XMO-botnettet fra mange lignende trusler, er den aggressive innsatsen for å fjerne konkurrerende skadevare.
Forskere oppdaget at skadevaren skanner infiserte systemer etter rivaliserende botnett og skadelige prosesser. Når den finner konkurrerende skadevare, forsøker C0XMO å avslutte prosessene og hindre dem i å ta tilbake kontrollen over enheten.
Denne metoden gjør det mulig for angriperne å bruke systemressursene utelukkende til sin egen operasjon. Den reduserer også konflikter som kan oppstå når flere skadevarefamilier forsøker å kontrollere den samme enheten.
Taktikken gjør i praksis infiserte rutere til eksklusive ressurser for botnettoperatørene.
Kampanjen støtter flere arkitekturer
Skadevaren er kompilert for flere prosessorarkitekturer, noe som gjør den i stand til å infisere et bredt spekter av internett-tilkoblede enheter.
Forskere har observert versjoner som retter seg mot ulike maskinvareplattformer som ofte brukes i rutere, innebygde systemer og annet nettverkstilkoblet utstyr. Denne fleksibiliteten gjør det mulig for botnettet å spre seg utover én enkelt enhetskategori og øker antallet potensielle ofre.
En separat skannekomponent hjelper også med å identifisere sårbare mål og støtter videre spredning til eksponerte systemer.
Gamle sårbarheter driver fortsatt botnett
Kampanjen fremhever et tilbakevendende problem innen cybersikkerhet. Trusselaktører fortsetter å utnytte eldre sårbarheter fordi mange enheter forblir uoppdaterte i årevis etter at sikkerhetsoppdateringer blir tilgjengelige.
Rutere er spesielt attraktive mål fordi de ofte er i drift kontinuerlig og får mindre oppmerksomhet enn datamaskiner og smarttelefoner. Når en ruter først er kompromittert, kan den gi langsiktig tilgang og verdifulle ressurser til botnettoperatører.
Forskere anbefaler å installere fastvareoppdateringer, deaktivere unødvendige funksjoner for fjernadministrasjon og erstatte standardpåloggingsinformasjon for å redusere risikoen.
Konklusjon
C0XMO-botnettet viser hvordan angripere fortsetter å videreutvikle etablerte skadevarefamilier. Ved å utnytte sårbare DD-WRT-rutere og aktivt fjerne konkurrerende skadevare bygger operatørene bak kampanjen et mer effektivt og robust botnett. Aktiviteten fungerer også som en påminnelse om at eldre nettverksutstyr fortsatt er et verdifullt mål for cyberkriminelle lenge etter at sårbarheter har blitt offentlig kjent.
0 responses to “C0XMO-botnett kaprer rutere og fjerner konkurrerende skadevare”