Новый ботнет на базе Mirai активно эксплуатирует уязвимость удалённого выполнения кода, которая, по-видимому, не исправлена в сетевых видеорегистраторах DigiEver DS-2105 Pro. Кампания стартовала в октябре и нацелена на несколько сетевых видеорегистраторов и маршрутизаторов TP-Link с устаревшей прошивкой.
Одна из уязвимостей была задокументирована исследователем TXOne Та-Лун Йеном и представлена в прошлом году на конференции по безопасности DefCamp в Бухаресте. Исследователь тогда сказал, что проблема затрагивает несколько устройств DVR. Исследователи Akamai заметили, что ботнет начал эксплуатировать уязвимость в середине ноября, но обнаружили доказательства того, что кампания была активна как минимум с сентября.
Помимо уязвимости DigiEver, новый вариант вредоносного ПО Mirai также нацелен на CVE-2023-1389 на устройствах TP-Link и CVE-2018-17532 на маршрутизаторах Teltonika RUT9XX.
Для взлома сетевых видеорегистраторов DigiEver используется уязвимость удалённого выполнения кода (RCE), и хакеры нацелены на URI ‘/cgi-bin/cgi_main. cgi’, который неправильно проверяет вводимые пользователем данные. Это позволяет удаленным неаутентифицированным злоумышленникам вводить команды, такие как ‘curl’ и ‘chmod’, через определённые параметры, такие как поле ntp в запросах HTTP POST.
В Akamai утверждают, что атаки Mirai похожи на те, что описаны в презентации Та-Лун Йена.
С помощью инъекции команд злоумышленники получают двоичный файл вредоносного ПО с внешнего сервера и подключают устройство к своей ботнет-сети. Устойчивость достигается путем добавления заданий cron.
После того, как устройство скомпрометировано, оно используется для проведения распределённых атак типа «отказ в обслуживании» (DDoS) или для распространения ПО на другие устройства с использованием наборов эксплойтов и списков учётных данных.
В Akamai говорят, что новый вариант Mirai примечателен использованием шифрования XOR и ChaCha20. Он нацелен на широкий спектр системных архитектур, включая x86, ARM и MIPS.
«Хотя использование сложных методов дешифрования не является чем-то новым, оно предполагает развитие тактики, методов и процедур среди операторов ботнетов на базе Mirai», — комментируют эксперты.
Они подчёркивают, что это примечательно, поскольку «многие ботнеты на базе Mirai по-прежнему зависят от исходной логики обфускации строк из переработанного кода, который был включён в исходный код исходного кода вредоносного ПО Mirai».
Исследователи считают, что ботнет также использует уязвимость CVE-2018-17532 в маршрутизаторах Teltonika RUT9XX и CVE-2023-1389, которая затрагивает устройства TP-Link.
Ранее Министерство торговли США заявило, что рассматривает возможность введения запрета на использования в стране маршрутизаторов TP-Link из-за опасений, что их могут использовать в кибератаках. Минобороны США начало расследование в отношении TP-Link в начале 2024 года. Агентство по кибербезопасности и защите инфраструктуры США отчиталось, что роутеры компании имеют уязвимость, которую злоумышленники могут использовать для удалённого выполнения кода.
ссылка на оригинал статьи https://habr.com/ru/articles/869582/
Добавить комментарий