Campanha baseada em MANGA, também conhecida como Dark Mirai, tem como alvo a vulnerabilidade RCE do roteador TP-Link

TP-Link já lançou um  firmware atualizado  para esta versão de hardware afetada e os usuários são fortemente encorajados a atualizar seus dispositivos.

Esta postagem detalha como essa ameaça potencializa a nova vulnerabilidade para assumir o controle dos dispositivos afetados e maneiras de proteger os usuários desses ataques.

Explorando uma nova vulnerabilidade

Essa campanha de botnet baseada em Mirai é chamada de MANGA por causa da string de token que costumava incluir em seus comandos SSH / telnet. Também é conhecido como Dark devido aos nomes de arquivo usados ​​para seus binários (por exemplo, Dark.arm, dark.mips, etc.). 

Ao explorar vulnerabilidades publicadas recentemente, esta campanha de malware aproveita a lacuna entre o momento da divulgação de uma vulnerabilidade e a aplicação de um patch para comprometer os dispositivos IoT. Isso dá a ele um maior potencial de disseminação, tornando-o mais prolífico do que botnets semelhantes. A mais recente adição à sua lista em constante crescimento de vulnerabilidades direcionadas são os Roteadores sem fio domésticos TP-Link, particularmente o modelo TL-WR840N EU (V5).

A vulnerabilidade que ele visa, atribuída  CVE-2021-41653 , foi descoberta apenas em 12 de novembro deste ano. E apenas duas semanas depois, em 22 de novembro, uma amostra da campanha de malware MANGA foi vista explorando-o ativamente.

Kamilló Matek discute todos os detalhes dessa vulnerabilidade neste  artigo . Em resumo, um parâmetro de host  vulnerável  permite que usuários autenticados executem comandos arbitrários no dispositivo de destino. 

Nesse caso, ele está sendo explorado para forçar os dispositivos vulneráveis ​​a baixar e executar um script malicioso,  tshit.sh , que baixa as cargas binárias principais, conforme discutido na próxima seção.

Para fazer isso, as seguintes solicitações são enviadas ao dispositivo:

Pedido 1:

Pedido 2:

É importante enfatizar que esta exploração requer autenticação para ter sucesso. Portanto, é crucial que os usuários alterem suas credenciais padrão.

Mesmo pacote

Tal como acontece com a rotina normal de infecção do Mirai, o script de shell executado baixa os binários de carga principal para diferentes arquiteturas e plataformas e os executa às cegas no sistema da vítima. Além disso, evita que outros botnets assumam o controle do dispositivo, bloqueando as conexões com as portas comumente visadas.Figura 1 – tshit.sh baixa a carga útil principal e bloqueia as conexões

O malware então espera por um comando de seu servidor de comando e controle (C2) para executar diferentes variações de um ataque de negação de serviço (DOS).Figura 2 Funções relacionadas a ataques DDOS

Solução

Os clientes da Fortinet são protegidos pelo seguinte:

• As seguintes assinaturas FortiGuard IPS genéricas foram capazes de detectar este ataque antes que esta vulnerabilidade fosse divulgada:
  • TP-Link.HTTP.Management.Code.Execution
  • TP-Link.Home.Wifi.Router.CGI.Referer.Command.Injection
• O FortiGuard Web Filtering Service bloqueia URLs baixados e C2s identificados.
• O serviço FortiGuard AntiVirus detecta e bloqueia esta ameaça como Linux / Mirai e ELF / Mirai

Conclusão

Por meio de nosso monitoramento ativo, encontramos uma nova variante da campanha de botnet baseada em Mirai, conhecida como MANGA ou Dark. Ele tem como alvo uma vulnerabilidade RCE do roteador sem fio TP-Link publicada recentemente. 

Ao longo de sua vida, esta campanha contínua tem sido muito ativa no direcionamento de vulnerabilidades recém-descobertas. Na verdade, pouco antes da publicação deste blog, nosso sistema de monitoramento encontrou outra variante atualizada que estamos investigando.

O FortiGuard Labs continuará monitorando esta campanha e fornecerá atualizações conforme necessário.

IOCs

Baixar URLs

http [:] // 194.85.248.176/bins/eh.x86
http [:] // 194.85.248.176/bins/eh.mips
http [:] // 194.85.248.176/bins/eh.mpsl
http [:] / /194.85.248.176/bins/eh.arm4
http [:] // 194.85.248.176/bins/eh.arm5
http [:] // 194.85.248.176/bins/eh.arm6
http [:] // 194.85.248.176/ bins / eh.arm7
http [:] // 194.85.248.176/bins/eh.ppc
http [:] // 194.85.248.176/bins/eh.m68k
http [:] // 194.85.248.176/bins/eh.sh4
http [:] // 194.85.248.176/bins/eh.86_64
http [:] // 194.85.248.176/local.sh
http [:] // 194.85.248.176/tshit.sh
http [:] // 2.56.59.215 /apache2.sh
http [:] // 212.192.241.72/lolol.sh

Amostras (SHA256)

Ebfc95372427f8b845daff9ff4aebe2451fa78e35a24edd084685f06ba3daee4
57f50f34e6df8ee9006e46b5fe5c4ee11febe9e33b087c809f1384563e9f1d4e
8ebef715ddb0b4e973b2f8c7529f4480b5caa9c4a25f8fd05a7eaacf036cca20
113be1f9db8af2469b82ce1b5d1b0c61c50586567b3898f2b8a614cd6e8f47a8
B4c3c79d148db638f891143a1910c3d17f973c512a719b1f7525a823b14d29a8
D3928d0b6dedce6a083123028e50ba76e1b29666e70a96eec1a7061b7303bf1a
6b463e9f5d9e8edbc235bceb854367b26ed6effb0dee9881a4f4e88a967318d5
D88052c0a76cac7e571870a4e87c5354594c26b4955cd934870dc12d48f129d5
265396023cbbad6b3480b851873ece9fa2f32c63739a7a0ac32d196843080cc8
83566400bdb09c5e2438c0d9ff723c88328ca93f29e648f97088342e239bfa09
Af9ac01e9e8cf7064d590044df43adca566521d223662cf5e0e2500badff6998
De01f26209a085eeff8c217782d283640a6226ccf1bd27eefd696658b55d10ba
A4b16a5bf9b6e662050a3c5ff157d7b2f0be301a1f8f5d1359170132b8b22e58
7a47e5b83e3c42df2ab72adf4a041b2e382f61a0ff378f593156353a78c2c702
1bd895ed050ce42d0f39b6baa0b6a454e05eb5bff72290857cb8fb77a9e4b4b9
71ca57bbba49aa877f7ded340328342c6e82e3a99720734c8b0de150d44d906c
23b03aa7d1dadd2e71016702f3e1b278b3a2c4f0c7d0cdc272774a428b88d09c
Fb7b03e7619d3ac5c4cbadc6b38841b11e3b19214b776073a590b571f91fe51e
3c978e02d21c7c12631d56c41aceb305fc11348a53eed47e29f7ce62ea0da4df
4832cff5666433a784d6ba48a0e400367d25314ef15d08a216b6286226eff342
95e4ac3ae03646cda56d80df80d775ed4bf23f98be42274fb440e7bc0d03ce88
8d390ad5af8d70692bda123b96e9745816ec7893d84682adb6d243619538b9d3
66adea50e0de8e1d664bb18c9f80596d1443b90e9ba57a59425720886a0c97e0
a87b502575d0db1b6257f1cf75edf4894bc84598f79148525b5cc449d143a495

Fonte: https://www.fortinet.com/