Utløst kaos: Condi Malware tar kontroll over TP-Link Wi-Fi-rutere for ødeleggende DDoS Botnet-angrep

En nylig oppdaget skadelig programvare, Condi, har dukket opp som en betydelig trussel, og utnyttet en sikkerhetssårbarhet i TP-Link Archer AX21 (AX1800) Wi-Fi-rutere. Hovedmålet er å utnytte disse kompromitterte enhetene, og sette dem sammen til et kraftig DDoS-botnett (Distributed Denial-of-Service). Forskere har notert en kraftig økning i kampanjens intensitet siden avslutningen av mai 2023.

Hvem står bak Condi?

Hjernen bak Condi er en person kjent av nettnavnet zxcr9999 , som aktivt promoterer sine ulovlige aktiviteter gjennom Telegram-kanalen Condi Network. Fra og med mai 2022 har trusselaktøren tjent penger på botnettet sitt ved å tilby DDoS-som-en-tjeneste og til og med selge kildekoden til skadevaren. Sikkerhetsforskere har grundig analysert skadevaren, og avdekket dens evne til å eliminere konkurrerende botnett på samme vert. Imidlertid mangler Condi en utholdenhetsmekanisme, noe som gjør at den ikke kan overleve en omstart av systemet.

For å overvinne begrensningen av utholdenhet etter en omstart av systemet, tar Condi handling ved å slette flere binærfiler som er ansvarlige for å slå av eller starte systemet på nytt. Disse binærfilene inkluderer /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ stopp og /usr/bin/halt. Det er verdt å merke seg at Mirai-botnettet tidligere utnyttet den målrettede sårbarheten.

I motsetning til annen utbredt skadelig programvare, bruker Condi en skannermodul for å identifisere TP-Link Archer AX21-rutere som er sårbare for CVE-2023-1389 (CVSS-score: 8,8). I stedet for å bruke brute-force-angrep som noen botnett, kjører Condi et shell-skript hentet fra en ekstern server for å deponere skadelig programvare på de identifiserte enhetene.

I følge sikkerhetsanalytikere har flere tilfeller av Condi dukket opp, som utnytter forskjellige kjente sikkerhetssårbarheter for å spre seg. Det indikerer at enheter som kjører uopprettet programvare er spesielt utsatt for å bli målrettet mot denne botnett-skadevare. Bortsett fra den aggressive taktikken for inntektsgenerering, er Condis primære mål å kompromittere enheter og etablere et formidabelt DDoS-botnett. Dette botnettet kan deretter leies ut til andre trusselaktører, slik at de kan starte TCP- og UDP-flomangrep på målrettede nettsteder og tjenester.

Nøytralisering av botnett er avgjørende for å opprettholde et sikkert og stabilt digitalt økosystem. Botnett, som Condi malware, kan utnytte sårbarheter i uoppdatert programvare og utnytte et nettverk av kompromitterte enheter for skadelige aktiviteter, for eksempel DDoS-angrep. Disse angrepene forstyrrer nettjenester og truer integriteten og tilgjengeligheten til kritisk infrastruktur betydelig. Enkeltpersoner, organisasjoner og sikkerhetseksperter må være årvåkne, holde programvaren oppdatert og bruke robuste sikkerhetstiltak for å oppdage og redusere botnett-trusler. Ved å aktivt nøytralisere botnett kan vi ivareta våre digitale miljøer og bidra til et tryggere nettlandskap for alle brukere.