Uma campanha ativa de malware está explorando duas vulnerabilidades zero day com funcionalidade de execução remota de código (RCE) para incorporar roteadores e gravadores de vídeo em rede (NVRs) em uma botnet baseada em Mirai, visando ataques de negação de serviço distribuído (DDoS).

Segundo a Akamai, em um aviso publicado esta semana, o payload visa roteadores e dispositivos NVR com credenciais administrativas padrão, instalando variantes do Mirai quando bem-sucedido.

Os detalhes das falhas estão sendo mantidos em segredo para permitir que os dois fornecedores afetados publiquem correções e evitem que outros atores de ameaças as explorem.

Espera-se que as correções para uma das vulnerabilidades sejam lançadas no próximo mês.

Os ataques foram inicialmente descobertos pela Akamai contra seus honeypots no final de outubro de 2023. A Akamai também identificou amostras adicionais de malware que parecem estar ligadas à variante hailBot do Mirai, que surgiu em setembro de 2023, segundo uma análise recente da NSFOCUS.

Uma das capacidades notáveis do malware envolve a recuperação de metadados da AWS para movimento lateral subsequente, bem como a busca por possíveis conexões com bancos de dados Redis para obter acesso não autorizado a dados de aplicativos sensíveis.

Outra tática comum adotada por atacantes é o uso de domínios comprometidos, mas legítimos, para fins de C2 e distribuição de malware.