Відносно новий ботнет на основі Mirai стає все більш складним і зараз використовує експлойти нульового дня для виявлення недоліків безпеки у промислових маршрутизаторах і пристроях розумного будинку. Про це повідомляє BleepingComputer.
Експлуатація раніше невідомих вразливостей розпочалася у листопаді 2024 року. Про це говорили дослідники Chainxin X Lab, які спостерігали за розвитком та атаками ботнету.
Однією із проблем безпеки є CVE-2024-12856 — вразливість у промислових роутерах Four-Faith, яку VulnCheck виявив наприкінці грудня, але помітив спроби використати її приблизно у 20 числах місяця.
Ботнет також покладається на спеціальні експлойти для невідомих вразливостей у маршрутизаторах Neterbit і розумних домашніх пристроях Vimar.
Його виявили торік у лютому. Наразі він нараховує 15 тисяч щоденних активних бот-вузлів переважно в Китаї, Сполучених Штатах, росії, Туреччині й Ірані.
Схоже, що його основною метою є здійснення розподіленої відмови в обслуговуванні (DDoS) на визначених цілях для отримання прибутку, націлюючись на сотні організацій щодня, причому пік активності припадає на жовтень і листопад 2024 року.
Зловмисне програмне забезпечення використовує поєднання загальнодоступних і приватних експлойтів для більш ніж 20 вразливостей для поширення на підключені до інтернету пристрої, націлені на відеореєстратори, промислові та домашні маршрутизатори й розумні домашні пристрої.
Зокрема, атака була націлена на:
- Роутери ASUS (через N-денні експлойти).
- Маршрутизатори Huawei (через CVE-2017-17215).
- Маршрутизатори Neterbit (власний експлойт).
- Маршрутизатори LB-Link (через CVE-2023-26801).
- Промислові маршрутизатори Four-Faith Industrial Routers (через нульовий день, тепер відстежується як CVE-2024-12856).
- Камери PZT (через CVE-2024-8956 і CVE-2024-8957).
- Відеореєстратор Kguard
Lilin DVR (через експлойти віддаленого виконання коду). - Загальні відеореєстратори (з використанням таких експлойтів, як TVT editBlackAndWhiteList RCE).
- Розумні домашні пристрої Vimar (ймовірно, використовують нерозкриту вразливість).
- Різні пристрої 5G/LTE (ймовірно, через неправильну конфігурацію або слабкі облікові дані).
Ботнет містить модуль грубої перевірки слабких паролів Telnet, використовує спеціальне пакування UPX з унікальними підписами та реалізує командні структури на основі Mirai для оновлення клієнтів, сканування мереж і проведення DDoS-атак.
X Lab повідомляє, що DDoS-атаки ботнету короткочасні, тривають від 10 до 30 секунд, але мають високу інтенсивність, перевищуючи 100 Гбіт/с у трафіку. Це може спричинити збої навіть у надійних інфраструктурах.
«Цілі атак знаходяться по всьому світу та поширені в різних галузях. Основні об’єкти атак розподілені в Китаї, США, Німеччині, Великобританії та Сінгапурі», — йдеться у повідомленні.
Загалом ботнет демонструє унікальну здатність підтримувати високий рівень зараження на різних типах пристроїв за допомогою експлойтів для n- і навіть нульових вад.
Користувачі можуть захистити свої пристрої, дотримуючись загальних рекомендацій щодо встановлення найновіших оновлень пристрою від постачальника, вимикання віддаленого доступу, якщо він не потрібен, і зміни облікових даних адміністратора за замовчуванням.
Читайте також на нашому сайті, що було виявлено розбіжності в управлінні інцидентами між DevOps та ITSM.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
