Er is in het wild een nieuwe variant van een IoT-botnet genaamd BotenaGo opgedoken, waarbij met name de DVR-apparaten van Lilin-beveiligingscamera’s worden uitgekozen om ze te infecteren met Mirai-malware.
nagesynchroniseerd “Lilin-scanner” door Nozomi Networks, de laatste versie is ontworpen om een twee jaar oude kritische opdracht injectie kwetsbaarheid in de DVR-firmware die in februari 2020 door het Taiwanese bedrijf is gepatcht.
BotenaGo, voor het eerst gedocumenteerd in november 2021 door AT&T Alien Labs, is geschreven in Golang en bevat meer dan 30 exploits voor bekende kwetsbaarheden in webservers, routers en andere soorten IoT-apparaten.
De broncode van het botnet is sindsdien geüpload naar GitHub, waardoor het rijp is voor misbruik door andere criminele actoren. “Met slechts 2.891 regels code heeft BotenaGo het potentieel om het startpunt te zijn voor veel nieuwe varianten en nieuwe malwarefamilies die de broncode gebruiken”, aldus de onderzoekers dit jaar.
De nieuwe BotenaGo-malware is de laatste om kwetsbaarheden in Lilin DVR-apparaten te misbruiken na Chalubo, Fbot en Moobot. Eerder deze maand heeft Qihoo 360’s Network Security Research Lab (360 Netlab) een snel verspreidend DDoS-botnet genaamd Fodcha beschreven dat zich heeft verspreid via verschillende N-Day-fouten en zwakke Telnet/SSH-wachtwoorden.
Een cruciaal aspect dat Lillin Scanner onderscheidt van BotenaGo is de afhankelijkheid van een extern programma om een IP-adreslijst van kwetsbare Lilin-apparaten op te bouwen, en vervolgens de bovengenoemde fout te misbruiken om willekeurige code op afstand op het doel uit te voeren en Mirai-payloads in te zetten.
Het is vermeldenswaard dat de malware zichzelf niet op een wormachtige manier kan verspreiden en alleen kan worden gebruikt om de IP-adressen aan te vallen die zijn opgegeven als invoer bij de Mirai-binaire bestanden.
“Een ander gedrag dat verband houdt met het Mirai-botnet is de uitsluiting van IP-bereiken die behoren tot de interne netwerken van het Amerikaanse ministerie van Defensie (DoD), US Postal Service (USPS), General Electric (GE), Hewlett-Packard (HP) en anderen”, aldus de onderzoekers.
Net als Mirai wijst de opkomst van Lilin Scanner op het hergebruik van direct beschikbare broncode om nieuwe malware-uitlopers voort te brengen.
“De auteurs hebben bijna alle 30+ exploits verwijderd die aanwezig waren in de originele broncode van BotenaGo”, aldus de onderzoekers, en voegden eraan toe: “het lijkt erop dat deze tool snel is gebouwd met behulp van de codebasis van de BotenaGo-malware.”
