Новый ботнет, основанный на черве Mirai, активно использует уязвимости в IP-видеорегистраторах (NVR) DigiEver DS-2105 Pro и устаревших маршрутизаторах TP-Link. Исследователи Akamai сообщают, что ботнет работает как минимум с сентября и нацелен на устройства с непропатченной прошивкой.
Уязвимость DigiEver позволяет удаленным злоумышленникам выполнять команды через неправильную проверку ввода в URI /cgi-bin/cgi_main.cgi. Хакеры используют этот недостаток для внедрения вредоносных команд и загрузки вредоносного ПО с внешних серверов. Ботнет также эксплуатирует CVE-2023−1389 в устройствах TP-Link и CVE-2018−17 532 в маршрутизаторах Teltonika RUT9XX.
Скомпрометированные устройства используются для DDoS-атак или дальнейшего распространения червя. Ботнет отличается использованием шифрования XOR и ChaCha20, а также совместимостью с различными архитектурами, включая x86, ARM и MIPS.
Пользователям рекомендуется обновить прошивку и следить за необычной активностью устройств, чтобы снизить риски.