Авторы нового ботнета нацелены на подключенные устройства, подверженные уязвимостям критического уровня, некоторые из которых влияют на устройства сетевой безопасности.
Атаки все еще активны и используют общедоступные эксплойты, иногда всего через несколько часов после публикации. На данный момент был использован код эксплойта как минимум для десяти уязвимостей, последняя из которых была добавлена на выходных.
Использование старых и недавних ошибок
На успешно скомпрометированных устройствах создается вариант вредоносного ПО ботнета Mirai, специфичный для архитектуры устройства.В середине февраля исследователи безопасности из подразделения 42 Palo Alto Networks обнаружили атаки этого ботнета и начали отслеживать его активность.
Оператору ботнета потребовалось около месяца, чтобы интегрировать эксплойты для десяти уязвимостей, многие из которых являются критическими, для различных целей.
Среди них - VisualDoor , эксплойт для уязвимости удаленной инъекции команд в устройствах SonicWall SSL-VPN, которые, по словам производителя, они исправили много лет назад.
В этих атаках используются более свежие эксплойты, такие как CVE-2021-22502, ошибка удаленного выполнения кода в продукте Micro Focus Operation Bridge Reporter (OBR) от Vertica.
OBR использует технологию больших данных для создания отчетов о производительности на основе данных из другого корпоративного программного обеспечения.
Две другие уязвимости критической степени серьезности, использованные в атаках со стороны оператора этого ботнета на базе Mirai, - это CVE-2021-27561 и CVE-2021-27562, влияющие на Yealink Device Management .
Об уязвимостях сообщили в рамках программы SSD Secure Disclosure независимые исследователи безопасности Пьер Ким и Александр Торрес. Технический анализ доступен здесь .
Они возникают из-за того, что предоставленные пользователем данные не фильтруются должным образом и позволяют неаутентифицированному злоумышленнику запускать произвольные команды на сервере с правами root.
Исследователи Unit 42 говорят, что три уязвимости, которые используют злоумышленники, еще предстоит идентифицировать, поскольку цели остаются неизвестными. Ниже приведен список недостатков, использованных в этих атаках:
Я БЫ | Уязвимость | Описание | Строгость |
1 | VisualDoor | Уязвимость SonicWall SSL-VPN, связанная с удаленной инъекцией команд | критическая степень тяжести |
2 | CVE-2020-25506 | Уязвимость удаленного выполнения команд межсетевого экрана D-Link DNS-320 | критическая степень тяжести, 9,8 / 10 |
3 | CVE-2021-27561 и CVE-2021-27562 | Уязвимость удаленного выполнения кода на уровне предварительной аутентификации в Yealink Device Management | критическая степень тяжести |
4 | CVE-2021-22502 | Уязвимость удаленного выполнения кода в Micro Focus Operation Bridge Reporter (OBR), затрагивающая версию 10.40 | критическая степень тяжести, 9,8 / 10 |
5 | CVE-2019-19356 | Напоминает уязвимость беспроводного маршрутизатора Netis WF2419, связанную с удаленным выполнением кода. | высокая степень тяжести, 7,5 / 10 |
6 | CVE-2020-26919 | Netgear ProSAFE Plus Уязвимость неаутентифицированного удаленного выполнения кода | критическая степень тяжести, 9,8 / 10 |
7 | Неопознанный | Уязвимость удаленного выполнения команд против неизвестной цели | Неизвестный |
8 | Неопознанный | Уязвимость удаленного выполнения команд против неизвестной цели | Неизвестный |
9 | Неизвестная уязвимость | Уязвимость, используемая Moobot в прошлом, хотя точная цель до сих пор неизвестна | Неизвестный |
После успешного включения устройства злоумышленник сбросил различные двоичные файлы, которые позволяют ему планировать задания, создавать правила фильтрации, запускать атаки методом перебора или распространять вредоносное ПО ботнета:
- lolol.sh : загружает и запускает специфичные для архитектуры «темные» двоичные файлы; он также планирует задание для повторного запуска скрипта и создает правила трафика, которые блокируют входящие соединения через общие порты для SSH, HTTP, telnet.
- install.sh : устанавливает сетевой сканер 'zmap', загружает GoLang и файлы для выполнения атак грубой силы на IP-адреса, обнаруженные 'zmap'.
- nbrute. [arch] : двоичный файл для атак методом перебора.
- combo.txt : текстовый файл с учетными данными, который будет использоваться в атаках методом грубой силы.
- dark. [arch] : двоичный файл на основе Mirai, используемый для распространения с помощью эксплойтов или перебора.
Bleeping Computer