Eine Mirai-Botnetz-Variante namens Murdoc zielt seit mindestens Juli 2024 in einer Massenkampagne aktiv auf AVTECH-Kameras und Huawei HG532-Router ab, wie die Qualys-Bedrohungsforscher. Sie nutzt zwei bekannte Schwachstellen aus, um RCE zu erlangen und Malware auf kompromittierten Geräten zu installieren:
- CVE-2024-7029eine ungepatchte Befehlsinjektionsschwachstelle, die ältere AVTECH IP-Kameras betrifft. Diese CVE wurde auch von der Corona-Mirai-Variante angegriffen, über die wir letztes Jahr berichtet haben (https://censys.com/cve-2024-7029/)
- CVE-2017-17215eine Schwachstelle bei der Ausführung beliebiger Befehle in Huawei HG532-Routern
Aktuelle Beobachtungen:
Mit Stand vom 22. Januar zeigen die Scans von Censys Folgendes an 221 Murdoc-infizierte Wirte die sich in Indonesien, den Vereinigten Staaten und Taiwan befinden. Andere Quellen berichten von über 1.300 Infektionen, aber diese Zahlen sind wahrscheinlich zu hoch gegriffen. Sie enthalten "abgeschnittene" Hosts und Pseudodienste, die auf mehr als 100 offene Ports reagieren - ein Verhalten, das über vernünftige Standards hinausgeht und wahrscheinlich nicht auf echte Hosts zutrifft.
93 davon weisen darauf hin, dass es sich um Mirai Command-and-Control (C2)-Server handelt, die andere anfällige Geräte anvisieren, um die Malware weiter zu verbreiten.
Eine kompromittierte AVTECH-Kamera, die als Mirai C2 fungiert
Censys Search Abfrage nach Murdoc-infizierten Hosts: services.http.response.body: "murdoc_botnet"
Censys Search Abfrage nach Murdoc (Mirai) C2s: services.http.response.body: "murdoc_botnet" und services.http.response.body:"$(echo -ne"
Die GreyNoise-Sensoren haben Exploit-Versuche für beide von Murdoc anvisierten CVEs aufgezeichnet, darunter 17 verschiedene bösartige IPs die auf die AVTECH-Kamera-Schwachstelle abzielen, und eine satte 37.796 bösartige IPs die auf die Schwachstelle des Huawei HG532 Routers abzielen.
Bösartige Aktivitäten, die auf CVE-2017-17215 abzielen, erreichten laut GreyNoise-Daten in den letzten 10 Tagen am 16. Januar ihren Höhepunkt
Es sind immer noch über 36,182 ungeschützte AVTECH-Kameras im Internet. Zwar sind nicht alle zwangsläufig anfällig für CVE-2024-7029, aber diese Geräte sind abgekündigteingestellt, erhalten keine Sicherheitsupdates mehr und sollten nicht dem öffentlichen Internet ausgesetzt werden.
Was kann getan werden?
Für Unternehmen und Einzelpersonen ist es wichtig, diese Geräte sofort zu sichern, indem sie sie entweder von externen Netzwerken isolieren oder durch unterstützte Hardware ersetzen.
IoCs:
Referenzen:
