Ботнет Mirai пополнился маршрутизаторами TP-Link

Хакеры используют новую уязвимость нулевого дня в маршрутизаторах TP-Link, базирующихся в Восточной Европе, и добавляют их в ботнет Mirai. Об этом сообщила команда Trend Micro Zero Day Initiative (ZDI) в своём блоге .

Уязвимость CVE-2023-1389 (CVSS: 8.8) была обнаружена в декабре 2022 года на мероприятии Pwn2Own в Торонто. Ошибка затрагивает TP-Link Archer AX21 и позволяет добавить популярный маршрутизатор в ботнет Mirai.

TP-Link исправила уязвимость в марте, но сейчас эксперты Trend Micro ZDI обнаружили несколько попыток эксплуатации уязвимости в дикой природе, которые начались с 11 апреля. Изначально большая часть атак была направлена на устройства, находящиеся в Восточной Европе, а затем атаки происходили в других местах по всему миру.

Исследователи обнаружили несколько связей с инфраструктурой Mirai и инструментами, которые хакеры использовали для захвата устройств.

Одной из особенностей является функциональность, которая позволяет использовать устройство в DDoS-атаках против игровых серверов. Хакеры также используют другие функции, чтобы трафик с устройства выглядел легитимным, что затрудняет идентификацию DDoS-трафика.

Больше всего исследователей ZDI встревожило то, как быстро уязвимость начала эксплуатироваться в атаках после выпуска исправления, что показывает уменьшение времени от обнаружения до начала использования недостатка, которое наблюдается во всей отрасли.