Thought Leadership
Ein Forscherteam der Threat Research Unit von Qualys warnt vor einer neuen Variante des berüchtigten Mirai-Botnets. Die als „Murdoc-Botnet“ bezeichnete Malware nutzt gezielt Sicherheitslücken in AVTECH-Kameras und Huawei HG523-Routern aus. Besonders betroffen sind IoT-Geräte in Malaysia, Thailand, Mexiko und Indonesien.
Erstmals im Juli entdeckt, hat Murdoc-Botnet bereits mindestens 1.300 Geräte infiziert. Wie alle Mirai-Varianten verfolgt auch diese Malware das Ziel, ein umfangreiches Netzwerk kompromittierter Systeme aufzubauen, das für verschiedene Cyberangriffe genutzt werden kann.
Angriffsmethoden und Infektionswege
Laut den Qualys-Forschern setzt das Botnet auf eine Kombination aus ELF-Dateien und Shell-Skripten, um in die Systeme einzudringen. Besonders kritische Sicherheitslücken wie CVE-2024-7029 und CVE-2017-17215 werden ausgenutzt, um die Schadsoftware zu verbreiten und dauerhafte Verbindungen zu den Command-and-Control-Servern herzustellen.
Die Infrastruktur des Murdoc-Botnets umfasst mehr als 100 verschiedene Steuerungsserver. Diese koordinieren die Verbreitung der Malware, verwalten die infizierten Geräte und steuern deren Aktivitäten. Dazu gehören das Nachladen weiterer Schadsoftware, die Verstärkung der Infektion und die Kontrolle über die betroffenen Systeme.
Das Murdoc-Botnet konzentriert sich besonders auf IoT-Geräte, da diese oft unzureichend geschützt sind. AVTECH-Kameras und Huawei-Router sind beliebte Angriffsziele, weil ihre bekannten Sicherheitslücken häufig nicht durch Updates geschlossen werden. Dadurch erhöht sich die Wahrscheinlichkeit, dass die Malware sich weiter ausbreiten kann.
Die Schadsoftware wird durch Bash-Skripte verbreitet, die speziell dafür entwickelt wurden, ihre Spuren nach der Ausführung zu löschen. Diese Taktik erschwert die Erkennung durch Sicherheitssoftware und macht eine Bekämpfung besonders herausfordernd.
Analyse und Schutzmaßnahmen
Die Forscher identifizierten Murdoc-Botnet anhand von Binärdateien, die für DDoS-Angriffe genutzt wurden. Durch den Einsatz von Qualys EDR, Bedrohungsdaten und Open-Source-Informationen (OSINT) konnte die Malware eindeutig als Mirai-Variante klassifiziert werden.
Um sich vor Angriffen zu schützen, empfiehlt Qualys Unternehmen, ihre Systeme kontinuierlich zu überwachen. Administratoren sollten verdächtige Prozesse, Ereignisse und auffälligen Netzwerkverkehr genau im Blick behalten. Besondere Vorsicht ist bei der Ausführung von Shell-Skripten aus unbekannten Quellen geboten.
Zusätzlich rät Qualys dazu, Systeme und Firmware regelmäßig zu aktualisieren und mit den neuesten Patches abzusichern. Nur durch proaktive Sicherheitsmaßnahmen kann verhindert werden, dass sich das Murdoc-Botnet weiter ausbreitet und neue Opfer findet.
