Un nouveau botnet basé sur Mirai cible les vulnérabilités zero-day dans les routeurs Tenda, selon des chercheurs de 360 ​​Netlab, une unité de la société chinoise de cybersécurité Qihoo 360.

Surnommé Ttint, le cheval de Troie d’accès à distance (RAT) contient des capacités de déni de service distribuées, comme le fait n’importe quelle progéniture Mirai, mais implémente également 12 fonctions d’accès à distance, y compris un proxy Socket5, la modification du DNS du routeur et des iptables, et l’exécution des commandes système.

Afin de contourner la détection du trafic typique généré par les botnets Mirai, Ttint utilise le protocole WSS (WebSocket over TLS) pour la communication avec le serveur de commande et de contrôle (C&C), et utilise également le cryptage.

L’activité du botnet a été détectée pour la première fois en novembre 2019, lorsque les attaquants ont commencé à abuser de la première vulnérabilité zero-day dans les routeurs Tenda (CVE-2020-10987). Le deuxième bogue a commencé à être exploité en août 2020, mais 360 Netlab affirme que le fournisseur n’a pas répondu à ses e-mails signalant la faille.

«Nous avons analysé et comparé les échantillons Ttint au cours des deux périodes et avons constaté que leurs instructions C2 étaient exactement les mêmes, mais ils présentaient des différences dans la vulnérabilité 0 jour, la clé XOR et le protocole C2 utilisés», explique 360 ​​Netlab.

La teinte, disent les chercheurs, a un comportement relativement simple, où elle supprime ses propres fichiers lors de l’exécution, modifie son nom de processus, manipule le chien de garde et peut empêcher le redémarrage de l’appareil. Après avoir établi une connexion au C&C, il envoie des informations sur l’appareil et commence à attendre les instructions.

Le malware possède de nombreuses fonctionnalités précédemment observées dans Mirai, telles qu’un nom de processus aléatoire, le cryptage des informations de configuration, la prise en charge de plusieurs vecteurs d’attaque DDoS ou le fait qu’une seule instance de malware est en cours d’exécution à la fois. Cependant, contrairement à Mirai, il utilise le protocole websocket.

Les fonctions implémentées dans Ttint permettent aux attaquants d’accéder à distance à l’intranet du routeur, …