Ein bislang unbekanntes Botnetz namens Goldoon hat es auf D-Link Router abgesehen, die eine fast zehn Jahre alte kritische Sicherheitslücke aufweisen. Ziel ist es, die kompromittierten Geräte für weitere Angriffe zu nutzen.
Die betroffene Schwachstelle, CVE-2015-2051 mit einem CVSS-Score von 9.8, beeinträchtigt D-Link DIR-645 Router und ermöglicht es entfernten Angreifern, über speziell gestaltete HTTP-Anfragen beliebige Befehle auszuführen.
„Wenn ein Zielgerät kompromittiert wird, können Angreifer vollständige Kontrolle erlangen. Dies ermöglicht ihnen, Systeminformationen zu extrahieren, Kommunikation mit einem C2-Server aufzubauen und diese Geräte dann für weitere Angriffe wie Distributed Denial-of-Service (DDoS) zu nutzen“, erklärten die Forscher Cara Lin und Vincent Li von Fortinet FortiGuard Labs.
Laut Telemetriedaten des Netzwerksicherheitsunternehmens gab es einen Anstieg der Botnet-Aktivitäten um den 9. April 2024.
Der Angriff beginnt mit der Ausnutzung von CVE-2015-2051, um ein Dropper-Skript von einem Remote-Server abzurufen. Dieses Skript ist verantwortlich für das Herunterladen des nächsten Payloads für verschiedene Linux-Systemarchitekturen, einschließlich aarch64, arm, i686, m68k, mips64, mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha und PA-RISC.
Der Payload wird anschließend auf dem kompromittierten Gerät gestartet und fungiert als Downloader für die Goldoon-Malware von einem Remote-Endpunkt, woraufhin der Dropper die ausgeführte Datei löscht und sich selbst vernichtet, um Spuren zu verwischen und unter dem Radar zu bleiben.
Jeder Versuch, den Endpunkt direkt über einen Webbrowser aufzurufen, zeigt die Fehlermeldung: „Sorry, you are an FBI Agent & we can’t help you 🙁 Go away or I will kill you :)“
Goldoon richtet auf dem Host eine Persistenz mit verschiedenen Autostartmethoden ein und stellt Kontakt zu einem Command-and-Control (C2)-Server her, um Befehle für Folgeaktionen abzuwarten.
Dazu gehören „erstaunliche 27 verschiedene Methoden“, um DDoS-Flood-Angriffe mit verschiedenen Protokollen wie DNS, HTTP, ICMP, TCP und UDP durchzuführen.
„Obwohl CVE-2015-2051 keine neue Schwachstelle ist und eine geringe Angriffskomplexität aufweist, hat sie eine kritische Sicherheitsauswirkung, die zu einer Fernausführung von Code führen kann“, sagten die Forscher.
Die Entwicklung kommt zu einem Zeitpunkt, an dem Botnetze weiterhin so viele Geräte wie möglich ausnutzen, während Cyberkriminelle und fortgeschrittene anhaltende Bedrohungsakteure (APT) gleichermaßen Interesse an kompromittierten Routern für die Nutzung als Anonymisierungsschicht gezeigt haben.
„Cyberkriminelle vermieten kompromittierte Router an andere Kriminelle und stellen sie höchstwahrscheinlich auch kommerziellen Wohnproxy-Anbietern zur Verfügung“, sagte das Cybersecurity-Unternehmen Trend Micro in einem Bericht.
Diese Entdeckungen unterstreichen die Nutzung verschiedener Malware-Familien, um die Router in ein Netzwerk einzubinden, das Bedrohungsakteure kontrollieren können, und sie effektiv in verdeckte Lauschposten zu verwandeln, die in der Lage sind, den gesamten Netzwerkverkehr zu überwachen.
„Internetrouter bleiben ein beliebtes Ziel für Bedrohungsakteure, da sie oft eine reduzierte Sicherheitsüberwachung haben, weniger strenge Passwortrichtlinien aufweisen, nicht häufig aktualisiert werden und möglicherweise leistungsfähige Betriebssysteme verwenden, die die Installation von Malware wie Kryptowährungsminern, Proxies, Distributed Denial of Service (DDoS)-Malware, bösartigen Skripten und Webservern ermöglichen“, sagte Trend Micro.
