Ontketende chaos: de Condi-malware neemt de controle over TP-Link wifi-routers voor verwoestende DDoS-botnetaanvallen

Een nieuw ontdekte malware, Condi, is naar voren gekomen als een belangrijke bedreiging en maakt gebruik van een beveiligingslek in TP-Link Archer AX21 (AX1800) Wi-Fi-routers. Het primaire doel is om deze gecompromitteerde apparaten te benutten en ze samen te voegen tot een krachtig Distributed Denial-of-Service (DDoS)-botnet. Onderzoekers hebben een sterke stijging van de campagne-intensiteit opgemerkt sinds de sluiting van mei 2023.

Wie zit er achter Condi?

Het brein achter Condi is een persoon die bekend staat onder de online naam zxcr9999 , die zijn illegale activiteiten actief promoot via het Telegram-kanaal Condi Network. Vanaf mei 2022 heeft de dreigingsactor geld verdiend met zijn botnet door DDoS-as-a-service aan te bieden en zelfs de broncode van de malware te verkopen. Beveiligingsonderzoekers hebben de malware grondig geanalyseerd en ontdekt dat het in staat is om concurrerende botnets op dezelfde host uit te schakelen. Condi mist echter een persistentiemechanisme, waardoor het een herstart van het systeem niet kan overleven.

Om de beperking van persistentie na het opnieuw opstarten van het systeem te omzeilen, onderneemt Condi actie door meerdere binaire bestanden te verwijderen die verantwoordelijk zijn voor het afsluiten of opnieuw opstarten van het systeem. Deze binaire bestanden omvatten /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt, en /usr/bin/halt. Het is vermeldenswaard dat het Mirai-botnet eerder misbruik maakte van de gerichte kwetsbaarheid.

In tegenstelling tot andere wijdverspreide malware, gebruikt Condi een scannermodule om TP-Link Archer AX21-routers te identificeren die kwetsbaar zijn voor CVE-2023-1389 (CVSS-score: 8,8). In plaats van brute-force-aanvallen uit te voeren, zoals sommige botnets, voert Condi een shell-script uit dat is verkregen van een externe server om de malware op de geïdentificeerde apparaten te deponeren.

Volgens beveiligingsanalisten zijn er meerdere exemplaren van Condi opgedoken, waarbij verschillende bekende beveiligingskwetsbaarheden worden misbruikt om zich te verspreiden. Dat geeft aan dat apparaten met niet-gepatchte software bijzonder vatbaar zijn voor het doelwit van deze botnet-malware. Afgezien van zijn agressieve tactieken om geld te verdienen, is het primaire doel van Condi om apparaten te compromitteren en een formidabel DDoS-botnet op te zetten. Dit botnet kan vervolgens worden verhuurd aan andere bedreigingsactoren, waardoor ze TCP- en UDP-flood-aanvallen kunnen uitvoeren op gerichte websites en services.

Het neutraliseren van botnets is van cruciaal belang voor het behoud van een veilig en stabiel digitaal ecosysteem. Botnets, zoals de Condi-malware, kunnen misbruik maken van kwetsbaarheden in niet-gepatchte software en een netwerk van gecompromitteerde apparaten gebruiken voor schadelijke activiteiten, zoals DDoS-aanvallen. Deze aanvallen verstoren online services en vormen een aanzienlijke bedreiging voor de integriteit en beschikbaarheid van kritieke infrastructuur. Individuen, organisaties en beveiligingsprofessionals moeten waakzaam blijven, software up-to-date houden en robuuste beveiligingsmaatregelen nemen om botnetbedreigingen te detecteren en te beperken. Door botnets actief te neutraliseren, kunnen we onze digitale omgevingen beveiligen en bijdragen aan een veiliger online landschap voor alle gebruikers.