Новый вариант вредоносного ПО Mirai заражает устройства Linux для создания DDoS-ботнета

Новый вариант ботнета Mirai, отслеживаемый как "V3G4", нацелен на 13 уязвимостей в серверах на базе Linux и устройствах интернета вещей для использования в DDoS-атаках (распределенный отказ в обслуживании).

Вредоносная программа распространяется путем принудительного ввода слабых учетных данных telnet/SSH по умолчанию и использования жестко закодированных уязвимостей для удаленного выполнения кода на целевых устройствах. Как только устройство взломано, вредоносная программа заражает устройство и вовлекает его в свой рой ботнетов.

Новый вариант вредоносного ПО Mirai заражает устройства Linux для создания DDoS-ботнета

Конкретное вредоносное ПО было обнаружено в трех различных кампаниях исследователями Palo Alto Networks (Unit 42), которые сообщили о мониторинге вредоносной активности в период с июля 2022 по декабрь 2022 года.

Unit 42 считает, что все три волны атак исходят от одного и того же субъекта угрозы, поскольку жестко закодированные домены C2 содержат одну и ту же строку, загрузки сценариев оболочки похожи, а клиенты ботнета, используемые во всех атаках, имеют идентичные функции.

Атаки V3 G4 начинаются с использования одной из следующих 13 уязвимостей:

• CVE-2012-4869: FreePBX Elastix remote command execution
• Gitorious remote command execution
• CVE-2014-9727: FRITZ!Box Webcam remote command execution
• Mitel AWC remote command execution
• CVE-2017-5173: Geutebruck IP Cameras remote command execution
• CVE-2019-15107: Webmin command injection
• Spree Commerce arbitrary command execution
• FLIR Thermal Camera remote command execution
• CVE-2020-8515: DrayTek Vigor remote command execution
• CVE-2020-15415: DrayTek Vigor remote command execution
• CVE-2022-36267: Airspan AirSpot remote command execution
• CVE-2022-26134: Atlassian Confluence remote command execution
• CVE-2022-4257: C-Data Web Management System command injection

Уязвимости, которые эксплуатирует V3G4 (Unit 42)

После компрометации целевого устройства полезная нагрузка на основе Mirai сбрасывается в систему и пытается подключиться к жестко закодированному адресу C2.

Ботнет также пытается завершить набор процессов из жестко запрограммированного списка, который включает другие конкурирующие семейства вредоносных программ ботнета.



Особенностью, отличающей V3G4 от большинства вариантов Mirai, является то, что в нем используются четыре различных ключа шифрования XOR вместо одного, что усложняет обратный инжиниринг кода вредоносной программы и расшифровку ее функций.

При распространении на другие устройства ботнет использует перебор telnet/SSH, который пытается подключиться, используя учетные данные по умолчанию или слабые. Unit 42 заметило, что более ранние варианты вредоносного ПО использовали для распространения как перебор telnet/SSH, так и использование уязвимостей, в то время как более поздние образцы не использовали сканер.

Наконец, скомпрометированным устройствам выдаются команды DDoS непосредственно из C2, включая методы TCP, UDP, SYN и HTTP flooding.



V3G4, скорее всего, продает услуги DDoS клиентам, которые хотят вызвать перебои в обслуживании определенных веб-сайтов или онлайн-сервисов.

Однако на данный момент этот вариант не был привязан к конкретной службе.

Как всегда, лучший способ защитить ваши устройства от заражений, подобных Mirai, - это изменить пароль по умолчанию и установить последние обновления для системы безопасности.

Источник: https://www.bleepingcomputer.com/ne...t-infects-linux-devices-to-build-ddos-botnet/

 

Российские хактивисты создают собственную версию вредоноса Mirai

Вероятно, хактивисты готовят масштабное нападение или новый источник заработка.


Исследователи безопасности ИБ-компании Radware сообщили, что группа хактивистов «Zarya» начала разработку собственной версии вредоносного ПО Mirai, чтобы усилить свои наступательные возможности.

Эксперты утверждают, что «Заря» стала сотрудничать с киберпреступниками из Akur Group, хостинг-провайдера для групп хактивистов. По их словам, сайт «Зари», а также журнал предвыборной кампании коллектива и вредоносное ПО размещены на «Akur».

В апреле 2022 года Киберспецназ (Killnet) создал одно из своих первых подразделений под названием «Заря». Примерно в это же время группа провела одну из своих первых скоординированных атак против НАТО.

Mirai — известный вредонос, породивший множество новых вариантов из-за общедоступного исходного кода. Различные варианты вредоноса реализуют разные протоколы связи с командным сервером, но все они используют ненадежные учетные данные для брутфорс-атак. В 2021 году эксперты выявили несколько примечательных вариантов Mirai, таких как Dark Mirai, ориентированных на домашние маршрутизаторы, и Moobot, используемый для атак на камеры видеонаблюдения.

Вредоносная программа использует открытые серверы и устройства для создания мощной ботнет-сети, которую можно использовать для запуска DDoS-атак или других вредоносных действий, таких как кража данных или установка дополнительных вредоносных программ.

Подробнее: https://www.securitylab.ru/news/536610.php