Nieuwe variant Mirai-malware richt zich op NAS-devices

Abonneer je gratis op Techzine!

Een nieuwe variant van de Mirai-malware richt zich op een kwetsbaarheid in network attached storage (NAS) en gebruikt die kwetsbaarheid om de devices in een Internet of Things (IoT)-botnet te integreren.

De nieuwe versie van de malware, die de naam Mukashi heeft gekregen, maakt gebruik van brute force-aanvallen waarbij verschillende combinaties van standaardgegevens worden gebruikt. Dit in een poging om in te loggen op Zyxel-gebaseerde opslagapparaten, om deze zo onder controle te krijgen en vervolgens toe te voegen aan een netwerk van apparaten. Dat zo ontstane botnet kan worden gebruikt om DDoS-aanvallen uit te voeren.

Mukashi maakt gebruik van de kwetsbaarheid met de code CVE-2020-9054 in Zyxel NAS-apparaten, met firmwareversie 5.21. Aanvallers kunnen op afstand code uitvoeren. Volgens onderzoekers van Palo Alto Networks proberen cybercriminelen de kwetsbaarheid op dit moment actief uit te buiten.

Werkwijze

Sinds 12 maart op zijn laatst is de malware actief. Aanvallers scannen TCP-poorten op potentiële doelwitten en lanceren vervolgens brute force-aanvallen in een poging om gebruikelijke gebruikersnaam- en wachtwoordcombinaties te omzeilen. Zodra die login is omzeild, maakt de malware verbinding met een command & control server die opdrachten kan geven om DDoS-aanvallen uit te voeren.

Hoewel er enkele verschillen zijn met de code van Mukashi zijn de mogelijkheden bijna precies hetzelfde als bij Mirai. Het Mirai-botnet heeft in 2016 grote delen van het internet plat kunnen leggen, waardoor grote online diensten voor miljoenen gebruikers onbereikbaar of vertraagd werden.

Zyxel heeft de kwetsbaarheid vorige maand al gepatcht. Het wordt dus aangeraden dat alle gebruikers de firmware-update downloaden om hun apparaten tegen Mukashi-aanvallen af te schermen.