{"id":1455,"date":"2025-01-09T10:36:17","date_gmt":"2025-01-09T10:36:17","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1455"},"modified":"2025-01-09T10:36:17","modified_gmt":"2025-01-09T10:36:17","slug":"neues-mirai-botnet-zielt-auf-industrierouter","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1455","title":{"rendered":"Neues Mirai-Botnet zielt auf Industrierouter"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Das Botnet Gayfemboy basiert auf der Malware Mirai und zielt auf Industrierouter auf der ganzen Welt.\n

Jaiz Anuar \u2013 Shutterstock.com<\/p>\n<\/div>\n

Security-Analysen zufolge verbreitet sich das auf der ber\u00fcchtigten Mirai-Malware<\/a> basierende Botnet Gayfemboy derzeit auf der ganzen Welt. Forscher von Chainxin X Lab<\/a> stellten fest, dass Cyberkriminelle das Botnet seit November 2024 nutzen, um bislang unbekannte Schwachstellen anzugreifen. Zu den bevorzugten Zielen des Botnetzes geh\u00f6ren Router der Marken Four-Faith und Neterbit oder Smart-Home-Ger\u00e4te.<\/p>\n

In diesem Zusammenhang berichteten Experten von VulnCheck<\/a> Ende Dezember vor einer Schwachstelle bei Industrieroutern von Four-Faith (CVE-2024-12856), die in freier Wildbahn ausgenutzt wurde. Die Angreifer nutzten demnach die Standardanmeldeinformationen des Routers aus, um eine Remote Command Injection<\/a> zu starten.<\/p>\n

Dar\u00fcber hinaus wurde das Botnet <\/a>f\u00fcr gezielte Angriffe auf unbekannte Schwachstellen in Neterbit-Routern und Smart-Home-Ger\u00e4ten von Vimar verwendet. Nach Angaben von Chainxin X Lab wird Gayfemboy f\u00fcr insgesamt 20 Schwachstellen und schwache Telnet-Passw\u00f6rter eingesetzt. Es verf\u00fcgt \u00fcber ein Brute-Force-Modul f\u00fcr unsichere Telnet-Passw\u00f6rter, verwendet benutzerdefiniertes UPX-Packing mit eindeutigen Signaturen und implementiert Mirai<\/a>-basierte Befehlsstrukturen. Dadurch seien die Angreifer in der Lage, Clients zu aktualisieren, Netzwerke zu scannen und DDoS-Attacken durchzuf\u00fchren.<\/p>\n

Angriffsziele<\/strong><\/h2>\n

Den Forschern zufolge werden \u00fcber das Botnet seit seiner Entdeckung im Februar 2024 t\u00e4glich Hunderte von Zielen angegriffen. Die Zahl der t\u00e4glich aktiven Bot-IPs liegt demnach bei 15.000, die meisten davon befinden sich in China, den USA, Russland, der T\u00fcrkei und dem Iran. Die Angriffsziele sind auf der ganzen Welt verteilt und betreffen verschiedenen Branchen. Die Hauptangriffsziele befinden sich in China, den Vereinigten Staaten, Deutschland, dem Vereinigten K\u00f6nigreich und Singapur.<\/p>\n

Laut Chainxin X Lab sind die DDoS-Angriffe des Botnet zwar von kurzer Dauer (zwischen 10 und 30 Sekunden), weisen jedoch eine hohe Intensit\u00e4t auf, wobei die Datenrate 100 Gbit\/s \u00fcbersteigt und selbst bei robusten Infrastrukturen zu St\u00f6rungen f\u00fchren kann.<\/p>\n

Gef\u00e4hrdete Ger\u00e4te<\/strong><\/h2>\n

Der Analyse zufolge zielen die Angriffe des Botnet auf folgende Ger\u00e4te ab:<\/p>\n

ASUS-Router (\u00fcber N-Day-Exploits).<\/p>\n

Huawei-Router (\u00fcber CVE-2017-17215)<\/p>\n

Neterbit-Router (benutzerdefinierter Exploit)<\/p>\n

LB-Link-Router (\u00fcber CVE-2023-26801)<\/p>\n

Four-Faith Industrial Routers (\u00fcber den Zero-Day, der jetzt als CVE-2024-12856 verfolgt wird)<\/p>\n

PZT-Kameras (\u00fcber\u00a0\u00a0CVE-2024-8956 und CVE-2024-8957\u00a0)<\/p>\n

Kguard DVR<\/p>\n

Lilin DVR (\u00fcber Exploits zur Remote-Code-Ausf\u00fchrung)<\/p>\n

Generische DVRs (unter Verwendung von Exploits wie TVT editBlackAndWhiteList RCE)<\/p>\n

Vimar-Smart-Home-Ger\u00e4te (vermutlich unter Ausnutzung einer unbekannten Schwachstelle)<\/p>\n

Verschiedene 5G\/LTE-Ger\u00e4te (wahrscheinlich aufgrund von Fehlkonfigurationen oder schwachen Anmeldeinformationen)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Das Botnet Gayfemboy basiert auf der Malware Mirai und zielt auf Industrierouter auf der ganzen Welt. Jaiz Anuar \u2013 Shutterstock.com Security-Analysen zufolge verbreitet sich das auf der ber\u00fcchtigten Mirai-Malware basierende Botnet Gayfemboy derzeit auf der ganzen Welt. Forscher von Chainxin X Lab stellten fest, dass Cyberkriminelle das Botnet seit November 2024 nutzen, um bislang unbekannte […]<\/p>\n","protected":false},"author":0,"featured_media":1456,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1455","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1455"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1455"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1455\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1456"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1455"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1455"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1455"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}