Botnet malware baru bernama ‘AndoryuBot’ menargetkan kelemahan kritis-keparahan di panel Ruckus Wireless Admin untuk menginfeksi titik akses Wi-Fi yang belum ditambal untuk digunakan dalam serangan DDoS.
Dilacak sebagai CVE-2023-25717cacat tersebut berdampak pada semua panel Ruckus Wireless Admin versi 10.4 dan yang lebih lama, memungkinkan penyerang jarak jauh untuk melakukan eksekusi kode dengan mengirimkan permintaan HTTP GET yang tidak diautentikasi ke perangkat yang rentan.
Cacat itu ditemukan dan ditetapkan pada 8 Februari 2023. Namun, banyak yang belum menerapkan pembaruan keamanan yang tersedia, sementara model akhir masa pakainya yang terkena dampak masalah keamanan tidak akan mendapatkan tambalan.
AndoryuBot pertama kali muncul di alam liar pada Februari 2023, namun Fortinet mengatakan versi terbarunya yang menargetkan perangkat Ruckus muncul pada pertengahan April.
Malware botnet bertujuan untuk mendaftarkan perangkat yang rentan ke kawanan DDoS (distributed denial of service) yang dioperasikannya untuk mendapatkan keuntungan.
Rincian serangan Ruckus
Malware menginfeksi perangkat yang rentan melalui permintaan HTTP GET berbahaya dan kemudian mengunduh skrip tambahan dari URL hardcode untuk penyebaran lebih lanjut.
Varian yang dianalisis oleh Fortinet dapat menargetkan banyak arsitektur sistem, termasuk x86, arm, spc, m68k, mips, sh4, dan mpsl.
Setelah menginfeksi perangkat, malware membuat komunikasi dengan server C2 menggunakan protokol proksi SOCKS untuk diam-diam dan melewati firewall, lalu menunggu perintah.
proyek AndoryuBot
Malware AndoryuBot mendukung 12 mode serangan DDoS: tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp -bypass, dan icmp-echo.
Malware akan menerima perintah dari server perintah dan kontrol yang memberitahukan jenis DDoS, alamat IP target, dan nomor port yang akan diserang.
Operator malware menyewakan senjata mereka ke penjahat dunia maya lain yang ingin meluncurkan serangan DDoS, menerima pembayaran cryptocurrency (XMR, BTC, ETH, USDT, CashApp) untuk layanan mereka.
Fortinet mengatakan harga sewa mingguan berkisar dari $20 untuk serangan 90 detik koneksi tunggal menggunakan semua bot yang tersedia diluncurkan 50 kali sehari hingga $115 untuk serangan koneksi ganda 200 detik menggunakan semua bot yang tersedia untuk meluncurkan 100 serangan setiap hari.
Proyek Andoryu saat ini dipasarkan melalui video YouTube di mana operatornya mendemonstrasikan kemampuan botnet.
Untuk mencegah infeksi malware botnet, terapkan pembaruan firmware yang tersedia, gunakan kata sandi administrator perangkat yang kuat, dan nonaktifkan akses panel admin jarak jauh jika tidak diperlukan.
