C0XMO-botnätet riktar in sig på sårbara DD-WRT-routrar i en kampanj som går längre än vanliga malwareinfektioner. Säkerhetsforskare har upptäckt att skadlig kod inte bara komprometterar enheter utan även aktivt söker efter och tar bort konkurrerande malware som redan finns på infekterade system.
Metoden ger angriparna exklusiv kontroll över komprometterade enheter samtidigt som botnätet kan växa till ett större och mer stabilt nätverk.
Botnätet utnyttjar en känd routersårbarhet
Forskare har kopplat kampanjen till en variant av malwarefamiljen Gafgyt, ett botnät som under flera år har riktat in sig på internetanslutna enheter. Den senaste aktiviteten utnyttjar CVE-2021-27137, en sårbarhet för fjärrkörning av kod i DD-WRT:s routermjukvara.
När angriparna får åtkomst installerar skadlig kod sig själv och börjar kommunicera med kontrollservrar. Den infekterade enheten blir därefter en del av ett större botnät som kan användas för ytterligare skadliga aktiviteter.
Trots att sårbarheten är flera år gammal är många enheter fortfarande exponerade eftersom ägarna inte har installerat tillgängliga firmwareuppdateringar.
Skadlig kod eliminerar konkurrenterna
Det som skiljer C0XMO-botnätet från många liknande hot är dess aggressiva försök att eliminera konkurrerande malware.
Forskare upptäckte att skadlig kod genomsöker infekterade system efter rivaliserande botnät och skadliga processer. När den hittar konkurrerande malware försöker C0XMO avsluta processerna och hindra dem från att återta kontrollen över enheten.
Metoden gör det möjligt för angriparna att använda systemresurserna uteslutande för sin egen verksamhet. Den minskar också konflikter som kan uppstå när flera malwarefamiljer försöker kontrollera samma enhet.
Taktiken förvandlar i praktiken infekterade routrar till exklusiva tillgångar för botnätets operatörer.
Kampanjen stöder flera arkitekturer
Skadlig kod har kompilerats för flera processorarkitekturer, vilket gör att den kan infektera ett brett spektrum av internetanslutna enheter.
Forskare har identifierat versioner som riktar sig mot olika hårdvaruplattformar som ofta används i routrar, inbyggda system och annan nätverksansluten utrustning. Denna flexibilitet gör att botnätet kan expandera bortom en enda enhetstyp och ökar antalet potentiella offer.
En separat skanningskomponent hjälper dessutom till att identifiera sårbara mål och stödjer vidare spridning till exponerade system.
Gamla sårbarheter driver fortfarande botnät
Kampanjen belyser ett återkommande problem inom cybersäkerhet. Hotaktörer fortsätter att utnyttja äldre sårbarheter eftersom många enheter förblir ouppdaterade flera år efter att säkerhetsuppdateringar har släppts.
Routrar är särskilt attraktiva mål eftersom de ofta är aktiva dygnet runt och får mindre uppmärksamhet än datorer och mobiltelefoner. När angripare väl komprometterar en router kan den ge långsiktig åtkomst och värdefulla resurser till botnätets operatörer.
Forskare rekommenderar att användare installerar firmwareuppdateringar, inaktiverar onödiga funktioner för fjärrhantering och byter standardlösenord för att minska risken för angrepp.
Slutsats
C0XMO-botnätet visar hur angripare fortsätter att utveckla etablerade malwarefamiljer. Genom att utnyttja sårbara DD-WRT-routrar och aktivt ta bort konkurrerande malware bygger operatörerna bakom kampanjen ett mer effektivt och motståndskraftigt botnät. Aktiviteten fungerar också som en påminnelse om att äldre nätverksutrustning fortsätter att vara ett värdefullt mål för cyberkriminella långt efter att sårbarheter har blivit kända.
0 svar till ”C0XMO-botnät kapar routrar och tar bort konkurrerande skadlig kod”