Търсене
Close this search box.

Нов вариант на Mirai заразява устройства с Linux

Новият вариант на ботнета Mirai, проследен като „V3G4“, е насочен към 13 уязвимости в сървъри и устройства, базирани на Linux, които се използват за DDoS (разпределени атаки за отказ на услуга).

Зловредният софтуер се разпространява чрез грубо насилване на слаби или стандартни telnet/SSH пълномощия и използване на твърдо кодирани недостатъци, за да се извърши отдалечено изпълнение на код на целевите устройства. След като бъде пробито устройство, зловредният софтуер го заразява  и го привлича в своя ботнет рояк.

Конкретният зловреден софтуер е забелязан в три отделни кампании от изследователи в Palo Alto Networks (Unit 42), които съобщават за наблюдение на злонамерената дейност между юли 2022 г. и декември 2022 г.

Unit 42 смята, че и трите вълни от атаки произлизат от един и същ извършител, тъй като твърдо кодираните C2 домейни съдържат един и същ низ, изтеглянията на скриптове са сходни, а клиентите на ботнета, използвани при всички атаки, имат идентични функции.

Атаките V3G4 започват с използването на една от следните 13 уязвимости:

  • CVE-2012-4869: FreePBX Elastix: отдалечено изпълнение на команди
  • Gitorious: отдалечено изпълнение на команди
  • CVE-2014-9727: FRITZ!Box Webcam дистанционно изпълнение на команда
  • Отдалечено изпълнение на команда на Mitel AWC
  • CVE-2017-5173: отдалечено изпълнение на команди за IP камери Geutebruck
  • CVE-2019-15107: Вкарване на команда в Webmin
  • Изпълнение на произволна команда в Spree Commerce
  • Дистанционно изпълнение на команда за термокамера FLIR
  • CVE-2020-8515: Дистанционно изпълнение на команда на DrayTek Vigor
  • CVE-2020-15415: DrayTek Vigor дистанционно изпълнение на команда
  • CVE-2022-36267: отдалечено изпълнение на команда на Airspan AirSpot
  • CVE-2022-26134: Atlassian Confluence – отдалечено изпълнение на команда
  • CVE-2022-4257: C-Data Web Management System command injection

След като компрометира целевото устройство, в системата се пуска полезен товар, базиран на Mirai, който се опитва да се свърже с твърдо кодирания C2 адрес.

Ботнетът също така се опитва да прекрати набор от процеси от твърдо кодиран списък, който включва други конкурентни семейства зловреден софтуер за ботнети.

Характеристиката, която отличава V3G4 от повечето варианти на Mirai, е, че той използва четири различни ключа за криптиране XOR вместо само един, което прави обратното инженерство на кода на зловредния софтуер и декодирането на функциите му по-трудно.

При разпространението си до други устройства ботнетът използва telnet/SSH brute-forcer, който се опитва да се свърже, използвайки данни по подразбиране или слаби пълномощия.Unit 42 забеляза, че по-ранните варианти на зловредния софтуер са използвали както telnet/SSH brute-forcing, така и експлоатиране на уязвимости за разпространение, докато по-късните образци не са използвали скенера.

И накрая, на компрометираните устройства се издават DDoS команди директно от C2, включително методи за наводняване по TCP, UDP, SYN и HTTP.

V3G4 вероятно продава DDoS услуги на клиенти, които искат да предизвикат прекъсване на услугите на конкретни уебсайтове или онлайн услуги.

Засега обаче този вариант не е свързан с конкретна услуга.

Както винаги, най-добрият начин да защитите устройствата си от инфекции, подобни на Mirai, е да смените паролата по подразбиране и да инсталирате най-новите актуализации за сигурност.

Източник: Palo Alto Networks,Unit 42

Източник: По материали от Интернет

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...
Бъдете социални
Още по темата
23/07/2024

САЩ налагат санкции на руск...

Правителството на САЩ наложи санкции на...
23/07/2024

Гърция пребори успешно въл...

Агенцията за поземлен регистър в Гърция...
20/07/2024

Akira Ransomware: Светкавич...

Изнудвачите от Akira вече са способни...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!