Нов вариант на Mirai заразява устройства с Linux

Новият вариант на ботнета Mirai, проследен като „V3G4“, е насочен към 13 уязвимости в сървъри и устройства, базирани на Linux, които се използват за DDoS (разпределени атаки за отказ на услуга).

Зловредният софтуер се разпространява чрез грубо насилване на слаби или стандартни telnet/SSH пълномощия и използване на твърдо кодирани недостатъци, за да се извърши отдалечено изпълнение на код на целевите устройства. След като бъде пробито устройство, зловредният софтуер го заразява  и го привлича в своя ботнет рояк.

Конкретният зловреден софтуер е забелязан в три отделни кампании от изследователи в Palo Alto Networks (Unit 42), които съобщават за наблюдение на злонамерената дейност между юли 2022 г. и декември 2022 г.

Unit 42 смята, че и трите вълни от атаки произлизат от един и същ извършител, тъй като твърдо кодираните C2 домейни съдържат един и същ низ, изтеглянията на скриптове са сходни, а клиентите на ботнета, използвани при всички атаки, имат идентични функции.

Атаките V3G4 започват с използването на една от следните 13 уязвимости:

  • CVE-2012-4869: FreePBX Elastix: отдалечено изпълнение на команди
  • Gitorious: отдалечено изпълнение на команди
  • CVE-2014-9727: FRITZ!Box Webcam дистанционно изпълнение на команда
  • Отдалечено изпълнение на команда на Mitel AWC
  • CVE-2017-5173: отдалечено изпълнение на команди за IP камери Geutebruck
  • CVE-2019-15107: Вкарване на команда в Webmin
  • Изпълнение на произволна команда в Spree Commerce
  • Дистанционно изпълнение на команда за термокамера FLIR
  • CVE-2020-8515: Дистанционно изпълнение на команда на DrayTek Vigor
  • CVE-2020-15415: DrayTek Vigor дистанционно изпълнение на команда
  • CVE-2022-36267: отдалечено изпълнение на команда на Airspan AirSpot
  • CVE-2022-26134: Atlassian Confluence – отдалечено изпълнение на команда
  • CVE-2022-4257: C-Data Web Management System command injection

След като компрометира целевото устройство, в системата се пуска полезен товар, базиран на Mirai, който се опитва да се свърже с твърдо кодирания C2 адрес.

Ботнетът също така се опитва да прекрати набор от процеси от твърдо кодиран списък, който включва други конкурентни семейства зловреден софтуер за ботнети.

Характеристиката, която отличава V3G4 от повечето варианти на Mirai, е, че той използва четири различни ключа за криптиране XOR вместо само един, което прави обратното инженерство на кода на зловредния софтуер и декодирането на функциите му по-трудно.

При разпространението си до други устройства ботнетът използва telnet/SSH brute-forcer, който се опитва да се свърже, използвайки данни по подразбиране или слаби пълномощия.Unit 42 забеляза, че по-ранните варианти на зловредния софтуер са използвали както telnet/SSH brute-forcing, така и експлоатиране на уязвимости за разпространение, докато по-късните образци не са използвали скенера.

И накрая, на компрометираните устройства се издават DDoS команди директно от C2, включително методи за наводняване по TCP, UDP, SYN и HTTP.

V3G4 вероятно продава DDoS услуги на клиенти, които искат да предизвикат прекъсване на услугите на конкретни уебсайтове или онлайн услуги.

Засега обаче този вариант не е свързан с конкретна услуга.

Както винаги, най-добрият начин да защитите устройствата си от инфекции, подобни на Mirai, е да смените паролата по подразбиране и да инсталирате най-новите актуализации за сигурност.

Източник: Palo Alto Networks,Unit 42

Източник: По материали от Интернет

Подобни публикации

20 март 2023

Препоръки на CISA за домашните мрежи - част1

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА За да се предотв...
20 март 2023

Windows 11 ще иска разрешение, преди да закача ...

Microsoft съобщава, че ще предостави на разработчиците нов API, кой...
19 март 2023

Winter Vivern е насочена към индийски, източное...

АРТ групата, известна като Winter Vivern, е свързана с кампании, на...
18 март 2023

Измерване на ефективността на SOC

Компаниите трябва да измерват ефективността във всички области на д...
17 март 2023

(ISC)² с програма за 1 000 000 безплатни курсов...

Искате да видите  себе си в киберсигурността? Не ви е необходим опи...
17 март 2023

Поддръжката на Microsoft краква Windows на клие...

При неочакван обрат инженер по поддръжката на Microsoft прибягва до...
16 март 2023

Фалшиво ChatGPT разширение за Chrome отвлича ак...

Установено е, че фалшиво разширение за браузър Chrome с марката Cha...
Бъдете социални
Още по темата
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
15/03/2023

Федералната агенция на САЩ ...

Миналата година уеб сървърът на Microsoft...
13/03/2023

Шпионират ли ви през вашия ...

Новият зловреден софтуер HiatusRAT се насочва...
Последно добавени
20/03/2023

Препоръки на CISA за домашн...

ПРЕПОРЪКИ ЗА КОМПЮТЪРНИ И РАЗВЛЕКАТЕЛНИ УСТРОЙСТВА...
20/03/2023

Windows 11 ще иска разрешен...

Microsoft съобщава, че ще предостави на...
19/03/2023

Winter Vivern е насочена къ...

АРТ групата, известна като Winter Vivern,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!