Търсене
Close this search box.

Нов вариант на Mirai заразява устройства с Linux

Новият вариант на ботнета Mirai, проследен като „V3G4“, е насочен към 13 уязвимости в сървъри и устройства, базирани на Linux, които се използват за DDoS (разпределени атаки за отказ на услуга).

Зловредният софтуер се разпространява чрез грубо насилване на слаби или стандартни telnet/SSH пълномощия и използване на твърдо кодирани недостатъци, за да се извърши отдалечено изпълнение на код на целевите устройства. След като бъде пробито устройство, зловредният софтуер го заразява  и го привлича в своя ботнет рояк.

Конкретният зловреден софтуер е забелязан в три отделни кампании от изследователи в Palo Alto Networks (Unit 42), които съобщават за наблюдение на злонамерената дейност между юли 2022 г. и декември 2022 г.

Unit 42 смята, че и трите вълни от атаки произлизат от един и същ извършител, тъй като твърдо кодираните C2 домейни съдържат един и същ низ, изтеглянията на скриптове са сходни, а клиентите на ботнета, използвани при всички атаки, имат идентични функции.

Атаките V3G4 започват с използването на една от следните 13 уязвимости:

  • CVE-2012-4869: FreePBX Elastix: отдалечено изпълнение на команди
  • Gitorious: отдалечено изпълнение на команди
  • CVE-2014-9727: FRITZ!Box Webcam дистанционно изпълнение на команда
  • Отдалечено изпълнение на команда на Mitel AWC
  • CVE-2017-5173: отдалечено изпълнение на команди за IP камери Geutebruck
  • CVE-2019-15107: Вкарване на команда в Webmin
  • Изпълнение на произволна команда в Spree Commerce
  • Дистанционно изпълнение на команда за термокамера FLIR
  • CVE-2020-8515: Дистанционно изпълнение на команда на DrayTek Vigor
  • CVE-2020-15415: DrayTek Vigor дистанционно изпълнение на команда
  • CVE-2022-36267: отдалечено изпълнение на команда на Airspan AirSpot
  • CVE-2022-26134: Atlassian Confluence – отдалечено изпълнение на команда
  • CVE-2022-4257: C-Data Web Management System command injection

След като компрометира целевото устройство, в системата се пуска полезен товар, базиран на Mirai, който се опитва да се свърже с твърдо кодирания C2 адрес.

Ботнетът също така се опитва да прекрати набор от процеси от твърдо кодиран списък, който включва други конкурентни семейства зловреден софтуер за ботнети.

Характеристиката, която отличава V3G4 от повечето варианти на Mirai, е, че той използва четири различни ключа за криптиране XOR вместо само един, което прави обратното инженерство на кода на зловредния софтуер и декодирането на функциите му по-трудно.

При разпространението си до други устройства ботнетът използва telnet/SSH brute-forcer, който се опитва да се свърже, използвайки данни по подразбиране или слаби пълномощия.Unit 42 забеляза, че по-ранните варианти на зловредния софтуер са използвали както telnet/SSH brute-forcing, така и експлоатиране на уязвимости за разпространение, докато по-късните образци не са използвали скенера.

И накрая, на компрометираните устройства се издават DDoS команди директно от C2, включително методи за наводняване по TCP, UDP, SYN и HTTP.

V3G4 вероятно продава DDoS услуги на клиенти, които искат да предизвикат прекъсване на услугите на конкретни уебсайтове или онлайн услуги.

Засега обаче този вариант не е свързан с конкретна услуга.

Както винаги, най-добрият начин да защитите устройствата си от инфекции, подобни на Mirai, е да смените паролата по подразбиране и да инсталирате най-новите актуализации за сигурност.

Източник: Palo Alto Networks,Unit 42

Източник: По материали от Интернет

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
23/02/2024

Новата ера в хактивизма

През последните две години наблюдаваме значително...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!