Eine neue Variante eines IoT-Botnetzes namens BotenaGo ist in der freien Wildbahn aufgetaucht, die speziell Lilin-Sicherheitskamera-DVR-Geräte auswählt, um sie mit Mirai-Malware zu infizieren.
Die neueste Version mit dem Namen „Lilin Scanner“ von Nozomi Networks wurde entwickelt, um eine zwei Jahre alte kritische Befehlsinjektionsschwachstelle in der DVR-Firmware auszunutzen, die von dem taiwanesischen Unternehmen im Februar 2020 gepatcht wurde.
BotenaGo, das erstmals im November 2021 von AT&T Alien Labs dokumentiert wurde, ist in Golang geschrieben und enthält über 30 Exploits für bekannte Schwachstellen in Webservern, Routern und anderen IoT-Geräten.
Der Quellcode des Botnetzes wurde inzwischen auf GitHub hochgeladen und ist damit reif für den Missbrauch durch andere kriminelle Akteure. „Mit nur 2.891 Zeilen Code hat BotenaGo das Potenzial, der Ausgangspunkt für viele neue Varianten und neue Malware-Familien zu sein, die seinen Quellcode nutzen“, so die Forscher dieses Jahr.
Die neue BotenaGo-Malware ist nach Chalubo, Fbot und Moobot die letzte, die Schwachstellen in Lilin-DVR-Geräten ausnutzt. Anfang des Monats berichtete das Network Security Research Lab (360 Netlab) von Qihoo 360 über ein sich schnell ausbreitendes DDoS-Botnetz namens Fodcha, das sich über verschiedene N-Day-Schwachstellen und schwache Telnet/SSH-Passwörter verbreitet hat.
Ein entscheidender Aspekt, der Lillin Scanner von BotenaGo unterscheidet, ist die Tatsache, dass er auf ein externes Programm angewiesen ist, um eine IP-Adressliste verwundbarer Lilin-Geräte zu erstellen und anschließend die oben erwähnte Schwachstelle auszunutzen, um beliebigen Code aus der Ferne auf dem Ziel auszuführen und Mirai-Nutzdaten zu verteilen.
Es ist erwähnenswert, dass sich die Malware nicht selbst wie ein Wurm verbreiten kann, sondern nur die IP-Adressen angreift, die als Eingabe für die Mirai-Binärdateien dienen.
„Ein weiteres Verhalten, das mit dem Mirai-Botnetz in Verbindung gebracht wird, ist der Ausschluss von IP-Bereichen, die zu den internen Netzwerken des US-Verteidigungsministeriums (DoD), des U.S. Postal Service (USPS), General Electric (GE), Hewlett-Packard (HP) und anderen gehören“, so die Forscher.
Wie Mirai deutet auch das Auftauchen von Lilin Scanner auf die Wiederverwendung von leicht verfügbarem Quellcode hin, um neue Malware-Ableger zu entwickeln.
„Die Autoren haben fast alle der mehr als 30 Exploits aus dem ursprünglichen Quellcode von BotenaGo entfernt“, so die Forscher und fügten hinzu: „Es scheint, dass dieses Tool schnell aus der Codebasis der BotenaGo-Malware entwickelt wurde.“