La variante de Mirai »Revived» apunta zero day en routers Ruijie

Mirai_ptea_Rimasuta, una variante antigua e impopular de Mirai, ha surgido nuevamente, abusando de una vulnerabilidad de día cero en los dispositivos de enrutador RUIJIE.

La botnet fue detectada por primera vez en junio como Mirai_ptea, abusando de una vulnerabilidad desconocida en KGUARD DVR. Entonces, no pareció un gran problema para los investigadores.
La vulnerabilidad recientemente explotada en los enrutadores Ruijie es una falla de inyección de comando que existe en los enrutadores de la serie RUJIE NBR700.

Según la investigación, una gran cantidad de dispositivos en línea están expuestos a esta vulnerabilidad. Algunas de estas versiones de dispositivos identificadas incluyen NBR1600GDX9, RGNBR700GDX5 y más.

Durante la explotación, se utiliza una carga útil que tiene una URL y utiliza varias variables vacías probablemente para desviar a los equipos de seguridad. Cuando se eliminan estas variables, se convierte en una función maliciosa que puede descargar y ejecutar la muestra de malware.

Los actores detrás de Mirai_ptea_Rimasuta han rediseñado su algoritmo de cifrado y su protocolo de comunicación C2; utiliza el algoritmo TEA y cifra otra información confidencial de recursos como Tor Proxy.

Su comunicación se divide en tres pasos: primero, establece una conexión con el nodo proxy, luego Tor C2, y se comunica con C2 a través del protocolo personalizado de ptea para recibir comandos.

En su información detallada, los investigadores han dividido el análisis en múltiples etapas / componentes para facilitar su comprensión.
Clave TEA: la muestra Mirai_ptea_Rimasuta viene con dos conjuntos de claves de algoritmo de cifrado pequeño (TEA), uno para cifrar y descifrar recursos sensibles, mientras que el otro es para cifrar y descifrar el tráfico de red.

Detección de sandbox: la variante comprueba la presencia de una gran cantidad de sandboxes o simuladores y continúa con la infección solo cuando se cumplen los requisitos relacionados con la ruta y el nombre de archivo.

Variación C2: Mirai_ptea_Rimasuta usa un código específico para llegar al Tor C2, lo que revela que hay alrededor de seis C2 usados ​​por este malware.
Cambio de protocolo de red: cifra el tráfico de la red y tiene un conjunto de claves codificadas de forma rígida Net_teakey. La clave se crea dinámicamente negociando con los C2.

Función de recopilación de información: monitorea las conexiones de red TCP del dispositivo infectado. Luego, carga la información de conexión (mediante minería de datos) que cumple con ciertos requisitos para Reporter.