Mirai dan Gafgyt, dua botnet IoT yang paling terkenal, telah bercabang sekali lagi, dengan varian baru yang menargetkan sektor perusahaan untuk menciptakan atau mengisi sumber daya denial-of-service mereka untuk serangan terdistribusi.
Kode untuk kedua malware tersebut dipublikasi beberapa tahun yang lalu dan para penjahat cyber mulai memunculkan varian mereka sendiri.
Sebuah laporan dari Unit 42 Palo Alto Networks mengungkapkan bahwa Mirai dan Gafgyt baru menambah kode eksploitasi mereka yang memanfaatkan beberapa kerentanan lama.
Mirai sekarang menargetkan sistem yang menjalankan Apache Struts, versi rentan yang berdampak dalam data-breach Equifax tahun lalu. CVE-2017-5638 telah diperbaiki selama lebih dari setahun, tetapi penjahat cyber memiliki banyak celah karena masih saja ada yang menggunakan versi yang rentan.
Jumlah eksploitasi dalam serangan Mirai kini telah mencapai 16. Sebagian besar dari mereka adalah untuk mengkompromikan perangkat yang terhubung seperti router, NVR, kamera, dan DVR.
Gafgyt, juga dikenal sebagai Baslite, melihat perangkat di sektor perusahaan juga, dengan menargetkan kerentanan yang baru saja diungkapkan (CVE-2018-9866, dengan skor keparahan yang tinggi) dalam versi Global Management System (GMS) dari SonicWall yang tidak didukung.
Unit 42 menemukan sampel baru pada 5 Agustus, kurang dari seminggu setelah publikasi modul Metasploit untuk kerentanan ini.
Perangkat yang terinfeksi Gafgyt dapat memindai peralatan lain untuk dikompromi dan memberikan eksploit yang sesuai. Perintah lain yang hadir dalam malware ini adalah untuk meluncurkan serangan Blacknurse – serangan ICMP bandwidth rendah yang berdampak pada beban CPU, memaksa kondisi denial-of-service.
Aktor ancaman yang sama di belakang kedua varian baru ini
Jika jenis sistem yang ditargetkan oleh varian baru Mirai dan Gafgyt hanya mengisyaratkan bahwa aktor yang sama ada di belakang mereka, para peneliti keamanan menemukan bukti: kedua sampel tersebut di-host di domain yang sama.
“Penggabungan eksploitasi yang menargetkan Apache Struts dan SonicWall oleh botnet IoT/Linux ini bisa menjadi indikasi pergerakan yang lebih besar dari target perangkat konsumen ke target perusahaan,” kata Palo Alto.
