Dark Mirai 봇넷, TP-Link 라우터의 RCE 취약점 통해 배포돼

Dark Mirai botnet spreads targeting RCE on TP-Link routers

 

Dark Mirai 봇넷이 TP-Link TL-WR840N EU V5 홈 라우터에 존재하는 취약점인 CVE-2021-41653을 악용하여 확산되는 것으로 나타났습니다.

 

CVE-2021-41653 취약점의 CVE 페이지에서는 아래와 같이 설명했습니다.

 

"TL-WR840N(EU)_V5_171211 펌웨어를 사용하는 TP-Link TL-WR840N EU v5 라우터의 PING 기능이 IP 주소 입력 필드의 조작된 페이로드를 통한 원격 코드 실행(RCE)에 취약합니다."

 

TP-Link는 2021년 11월 12일 펌웨어 업데이트인 TL-WR840N(EU)_V5_211109를 공개해 취약점을 해결했습니다.

 

이 취약점은 보안 연구원인 Kamilló Matek(@k4m1ll0)이 발견했습니다. 그는 해당 취약점에 대한 PoC 익스플로잇 또한 게시했습니다.

 

Fortinet의 연구원에 따르면, 봇넷 운영자는 TP-Link가 펌웨어 업데이트를 출시한 지 2주 만에 이 RCE에 대한 익스플로잇을 그들의 작업에 추가했습니다.

 

 

<이미지 출처 : https://twitter.com/k4m1ll0/status/1459202906671009799>

 

 

Dark Mirai 봇넷은 공개적으로 사용 가능한 Mirai의 코드를 기반으로 하며, 최신 캠페인에서 취약점을 악용하여 취약한 라우터가 악성 스크립트인 tshit.sh를 다운로드 및 실행하도록 한 다음 메인 바이너리 페이로드를 다운로드합니다.

 

아래는 기기를 해킹하기 위해 전송한 두 가지 요청입니다.

 

 

<이미지 출처 : https://www.fortinet.com/blog/threat-research/manga-aka-dark-mirai-based-campaign-targets-new-tp-link-router-rce-vulnerability>

 

 

연구원들은 악용을 위해서는 라우터 인증이 필요하다고 지적했습니다.

 

Mirai 봇넷과 마찬가지로, Dark Mirai는 알맞은 페이로드를 가져와 다운로드하기 위해 피해자의 아키텍쳐를 확인합니다.

 

이후 봇은 다른 악성코드가 기기를 감염시키는 것을 방지하기 위해, 흔히 타깃이 되는 포트에 대한 연결을 차단합니다.

 

악성코드를 설치하면 DoS(서비스 거부) 변경 공격을 수행하기 위해 C&C(명령 및 제어) 서버의 명령을 기다립니다.

 

Fortinet은 최근 공격에 대한 IoC 목록을 발표했습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Trojan.Linux.Mirai.1’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/125450/malware/dark-mirai-botnet-tp-link.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41653

https://www.fortinet.com/blog/threat-research/manga-aka-dark-mirai-based-campaign-targets-new-tp-link-router-rce-vulnerability (IOC)