Eine neue und fortschrittliche Variante des **Gafgyt**-Botnetzes namens **C0XMO** nutzt aktiv Schwachstellen in der **DD-WRT**-Router-Firmware aus. Diese hochentwickelte Malware zeigt eine bemerkenswerte Anpassungsfähigkeit und zielt auf eine Vielzahl von Gerätetypen über mehrere CPU-Architekturen hinweg ab, darunter ARM, MIPS, PowerPC, SuperH, x86 und x86_64. ### Modulares Design und breite Reichweite Forscher von **Fortinet** waren maßgeblich an der Aufdeckung der Fähigkeiten von **C0XMO** beteiligt. Sie hoben seine modulare Architektur hervor, ein Schlüsselmerkmal, das es seinen Betreibern ermöglicht, Exploitationstechniken unabhängig zu aktualisieren, gezielte Architekturen hinzuzufügen oder zu entfernen und die Fähigkeiten zur lateralen Ausbreitung zu erweitern, ohne die Haupt-Payload zu verändern. Obwohl beobachtet wurde, dass ein japanisches Technologieunternehmen ins Visier genommen wurde, wurde die Quell-IP des Botnetzes auf ein Gerät in Deutschland zurückgeführt, was auf eine potenziell größere globale Reichweite oder eine komplexe operative Struktur hindeutet. ### Ausnutzung und DDoS-Fähigkeiten **C0XMO** verbreitet sich hauptsächlich durch die Ausnutzung von **CVE-2021-27137**, einer kritischen Pufferüberlauf-Schwachstelle in **DD-WRT**. Diese Schwachstelle, die aus einer unzureichenden Validierung von Benutzereingaben resultiert, kann ohne Authentifizierung ausgenutzt werden, um beliebigen Code auf anfälligen Geräten auszuführen. Im Kern ist **C0XMO** für den Start von Distributed-Denial-of-Service (DDoS)-Angriffen konzipiert. Es unterstützt eine umfangreiche Palette von 19 Angriffsmethoden, darunter UDP/TCP/SYN/ICMP-Floods, „Ping of Death“, NTP/Memcached-Amplifikation, Discord-Voice-UDP-Floods und Valve-spezifische Floods. ### Fortschrittliche Verbreitung und Persistenz Um eine breitere Verbreitung zu erreichen, lädt **C0XMO** ein Python-Skript herunter, das notwendige Pakete wie 'requests', 'paramiko' und 'beautifulsoup4' installiert. Diese Werkzeuge erleichtern das Netzwerk-Scanning und die Kommunikation über SSH- und Telnet-Protokolle.  Der Scanner verwendet Worker-Threads, um zufällig internetfähige Systeme über gängige Ports wie 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443 und 8888 zu scannen. Nach der Identifizierung eines Ziels versucht die Malware, schwache Telnet- und SSH-Anmeldedaten per Brute-Force zu knacken. Sobald der Zugriff hergestellt ist, erkennt sie die CPU-Architektur und setzt eine kompatible **C0XMO**-Binärdatei ein. Das Skript verfügt über fast zwei Dutzend Funktionen für verschiedene Aufgaben, darunter Scannen, Ausnutzen von HTTP- und ADB-basierten Schwachstellen, Erkennung der CPU-Architektur, SSH/Telnet-Login und IP-Adressenprüfung, alles mit dem Ziel einer robusten lateralen Ausbreitung innerhalb von Netzwerken. Sobald ein Gerät kompromittiert ist, kopiert sich **C0XMO** in versteckte Verzeichnisse wie '/tmp/.sys', '/var/tmp/.sys' und '/dev/shm/.sys'. Anschließend stellt es Persistenz her, indem es Cron-Jobs erstellt, um sich alle 15 Minuten neu zu starten, und modifiziert Shell-Startdateien für die automatische Ausführung. ### Eliminierung von Konkurrenten und Command & Control Ein bemerkenswertes Merkmal von **C0XMO** ist das aktive Scannen nach konkurrierenden Botnet-Clients, Red-Team-Tools, Programmierwerkzeugen und Netzwerkdiensten, die seine Operationen beeinträchtigen könnten. Nach der Erkennung beendet es diese Prozesse, löscht ihre Binärdateien und entfernt ihre Persistenzmechanismen, einschließlich Cron-Jobs, Init-Skripten, Systemdiensten und Shell-Profil-Einträgen.  Nach erfolgreicher Kompromittierung und Bereinigung verbindet sich **C0XMO** mit einer hartkodierten Command-and-Control (C2)-Adresse über einen benutzerdefinierten mehrstufigen Handshake, der magische Zeichenfolgen und gemeinsame Geheimnisse beinhaltet. Anschließend wartet es auf Befehle, zu denen Heartbeat-Prüfungen, das Starten/Stoppen von Scans und das Starten von DDoS-Angriffen mit einer der 19 unterstützten Methoden gehören. ### Einschätzung und Verteidigungsempfehlungen von Fortinet **Fortinet** beschreibt **C0XMO** als mit "einer erheblich fortschrittlicheren Architektur und einem größeren Funktionsumfang im Vergleich zu früheren IoT-Botnetzen" ausgestattet. Die Forscher betonen, dass sein Gesamtdesign "ein höheres Maß an operativer Raffinesse und Komplexität als typische **Gafgyt**-Malware" aufweist. Um sich gegen **C0XMO** und ähnliche Botnet-Bedrohungen zu verteidigen, wird IT-Sicherheitsexperten und Benutzern dringend empfohlen: * Alle Geräte, insbesondere Router und IoT-Geräte, mit der neuesten Firmware und Sicherheitspatches auf dem neuesten Stand zu halten. * Starke, eindeutige Administrator-Anmeldedaten für alle Netzwerkgeräte zu verwenden. * Remote-Zugriffsfunktionen zu deaktivieren, wenn sie nicht ausdrücklich erforderlich sind.