Нов вариант на Mirai заразява устройства с Linux

Новият вариант на ботнета Mirai, проследен като „V3G4“, е насочен към 13 уязвимости в сървъри и устройства, базирани на Linux, които се използват за DDoS (разпределени атаки за отказ на услуга).

Зловредният софтуер се разпространява чрез грубо насилване на слаби или стандартни telnet/SSH пълномощия и използване на твърдо кодирани недостатъци, за да се извърши отдалечено изпълнение на код на целевите устройства. След като бъде пробито устройство, зловредният софтуер го заразява  и го привлича в своя ботнет рояк.

Конкретният зловреден софтуер е забелязан в три отделни кампании от изследователи в Palo Alto Networks (Unit 42), които съобщават за наблюдение на злонамерената дейност между юли 2022 г. и декември 2022 г.

Unit 42 смята, че и трите вълни от атаки произлизат от един и същ извършител, тъй като твърдо кодираните C2 домейни съдържат един и същ низ, изтеглянията на скриптове са сходни, а клиентите на ботнета, използвани при всички атаки, имат идентични функции.

Атаките V3G4 започват с използването на една от следните 13 уязвимости:

  • CVE-2012-4869: FreePBX Elastix: отдалечено изпълнение на команди
  • Gitorious: отдалечено изпълнение на команди
  • CVE-2014-9727: FRITZ!Box Webcam дистанционно изпълнение на команда
  • Отдалечено изпълнение на команда на Mitel AWC
  • CVE-2017-5173: отдалечено изпълнение на команди за IP камери Geutebruck
  • CVE-2019-15107: Вкарване на команда в Webmin
  • Изпълнение на произволна команда в Spree Commerce
  • Дистанционно изпълнение на команда за термокамера FLIR
  • CVE-2020-8515: Дистанционно изпълнение на команда на DrayTek Vigor
  • CVE-2020-15415: DrayTek Vigor дистанционно изпълнение на команда
  • CVE-2022-36267: отдалечено изпълнение на команда на Airspan AirSpot
  • CVE-2022-26134: Atlassian Confluence – отдалечено изпълнение на команда
  • CVE-2022-4257: C-Data Web Management System command injection

След като компрометира целевото устройство, в системата се пуска полезен товар, базиран на Mirai, който се опитва да се свърже с твърдо кодирания C2 адрес.

Ботнетът също така се опитва да прекрати набор от процеси от твърдо кодиран списък, който включва други конкурентни семейства зловреден софтуер за ботнети.

Характеристиката, която отличава V3G4 от повечето варианти на Mirai, е, че той използва четири различни ключа за криптиране XOR вместо само един, което прави обратното инженерство на кода на зловредния софтуер и декодирането на функциите му по-трудно.

При разпространението си до други устройства ботнетът използва telnet/SSH brute-forcer, който се опитва да се свърже, използвайки данни по подразбиране или слаби пълномощия.Unit 42 забеляза, че по-ранните варианти на зловредния софтуер са използвали както telnet/SSH brute-forcing, така и експлоатиране на уязвимости за разпространение, докато по-късните образци не са използвали скенера.

И накрая, на компрометираните устройства се издават DDoS команди директно от C2, включително методи за наводняване по TCP, UDP, SYN и HTTP.

V3G4 вероятно продава DDoS услуги на клиенти, които искат да предизвикат прекъсване на услугите на конкретни уебсайтове или онлайн услуги.

Засега обаче този вариант не е свързан с конкретна услуга.

Както винаги, най-добрият начин да защитите устройствата си от инфекции, подобни на Mirai, е да смените паролата по подразбиране и да инсталирате най-новите актуализации за сигурност.

Източник: Palo Alto Networks,Unit 42

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
Бъдете социални
Още по темата
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
20/09/2023

Microsoft: Кибератаките "Pe...

Microsoft предупреждава, че глобална кампания за...
16/09/2023

Retool обвинява за нарушени...

Софтуерната компания Retool съобщава, че акаунтите...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!