C0XMO botnet
A FortiGuard Labs egy új, C0XMO néven azonosított Gafgyt (Bashlite) botnetváltozatot elemzett, amely a korábbi verzióktól eltérően már több hardverarchitektúrán képes automatikusan terjedni. A malware elsődleges célpontjai sérülékeny DD-WRT firmware-t futtató routerek, amelyeket a CVE-2021-27137 azonosítójú UPnP puffer-túlcsordulási sérülékenység kihasználásával kompromittál.
A kampány egyik fontos újdonsága, hogy a terjedési mechanizmust a támadók leválasztották a fő malware-ről, és egy különálló Python-alapú oldalirányú terjedési modulba szervezték ki. Ez lehetővé teszi, hogy a fertőzött eszköz automatikusan felismerje a célrendszer architektúráját, majd a megfelelő binárist töltse le és telepítse. A kutatók ARM, MIPS, PowerPC, SuperH, x86, x64 és további Linux-platformokra fordított mintákat azonosítottak.
A fertőzés során a támadó speciálisan kialakított SSDP M-SEARCH csomagokat küld a 1900/UDP portra, amelyek a DD-WRT UPnP szolgáltatás hibáját kihasználva távoli kódfuttatást tesznek lehetővé. A sikeres kompromittálás után a malware a /tmp/.cache könyvtárba kerül, majd letölti az adott eszközhöz illeszkedő további komponenseket.
A Gafgyt család klasszikus funkcióit a C0XMO is megőrizte, a kompromittált eszközök egy C2 infrastruktúrához csatlakoznak, ahonnan DDoS-parancsokat, új fertőzési utasításokat vagy további kártevőket kaphatnak. A Fortinet szerint a moduláris felépítés és a többplatformos terjedés jelentősen növeli a botnet rugalmasságát és életképességét.
