Nieuw IoT-botnet van IP-camera’s ontdekt

pixabay-hacker-1944688_960_720

Een nieuw botnet is ontdekt dat bestaat uit IP-camera’s. Het Persirai botnet heeft veel wel van het beruchte Mirai botnet en richt zich op het uitvoeren van DDoS-aanvallen. In totaal kunnen zo’n 120.000 IP-camera’s die met internet zijn verbonden onderdeel worden gemaakt van het botnet.

Hiervoor waarschuwt Trend Micro. Aanvallers loggen via TCP-poort 81 met behulp van standaard inloggegevens in op webinterfaces van IP-camera’s die toegankelijk zijn via internet. Deze kunnen eenvoudig opgespoord worden voor bijvoorbeeld de zoekmachine Shodan. Uit een analyse van Trend Micro blijkt dat op deze wijze 120.000 kwetsbare IP-camera’s te vinden zijn.

Zero-day kwetsbaarheid

De cybercriminelen achter het Persisai botnet richten zich op ruim 1.000 verschillende modellen IP-camera’s, die allen zijn gebaseerd op een camera van een niet nader genoemde OEM. In deze camera is enkele maanden terug een zero-day kwetsbaarheid gevonden, die vooralsnog niet is gedicht. Deze kwetsbaarheid stelt aanvallers in staat het wachtwoordbestand van gebruikers in handen te krijgen, waardoor zij commando injecties kunnen uitvoeren ongeacht de sterkte van het wachtwoord.

Vervolgens ontvangen de IP-camera’s een commando van de C&C server, die hen opdraagt een DDoS-aanval uit te voeren op andere computers via User Datagram Protocol (UDP) floods. Trend Micro merkt op dat de ontdekte C&C servers allen in de .IR landscode staan. Deze specifieke landscode wordt beheerd door een Iraans onderzoeksinstituut en kan alleen door Iraniërs worden gebruikt. Daarnaast wijst Trend Micro op de aanwezigheid van enkele speciale Persische karakters in de malware, wat doet vermoeden dat de makers Iraans zijn.

Lees ook
Barracuda: "Schadelijke bots vertonen steeds ‘menselijker’ gedrag"

Barracuda: "Schadelijke bots vertonen steeds ‘menselijker’ gedrag"

In een nieuw rapport over botactiviteit van de afgelopen 12 maanden is de onderzoekers opgevallen dat er ook een nieuwe categorie AI-bots in opkomst is, die als ‘grey bots’ beschouwd kunnen worden. Bij deze AI-bots wordt de grens van wat ‘legitieme activiteiten’ zijn, vager.

Grootschalige ontmanteling van botnets

Grootschalige ontmanteling van botnets

Politiediensten, Eurojust en Europol kondigden Operation Endgame aan. Dit is een grootschalige poging om de infrastructuur van malware en botnets te verstoren en de betrokken personen te identificeren. In een persbericht noemde Europol het de ‘grootste operatie ooit tegen botnets die een cruciale rol spelen bij het verspreiden van ransomware’.

Miljoenen berichten verspreiden LockBit 3.0

Miljoenen berichten verspreiden LockBit 3.0

Proofpoint observeert sinds 24 april 2024 dagelijks en gedurende ongeveer een week lang campagnes met grote volumes en miljoenen berichten, gefaciliteerd door het Phorpiex-botnet.