TrendMicro especialistas descubrieron en el desconocido “naturaleza salvaje” antes variante de malware que utiliza Mirai 13 explota a la vez para los ataques a dispositivos de destino.
yoOT-robot está equipado con componentes para el ataque a los routers de diferentes productores, Cámaras IP y otros dispositivos.Todos los investigadores de la carga útil que ya se reunieron en las campañas por las versiones anteriores de Mirai, pero juntos todos 13 exploits se utilizan por primera vez.
Al igual que en la mayoría de las variantes de bot anteriormente, autores del nuevo uso versión XOR codificante para complicar la identificación de software malicioso. En el texto del programa se integra dirección del centro de control, y almacenes con módulos necesarios para ataques. Los servidores de archivos están ocultos detrás del servicio de DNS dinámico.
"Con estos 13 exploits, esta variante “Backdoor.Linux.MIRAI.VWIPT” es capaz de dirigirse Vacron red grabadoras de vídeo, routers Dasan GPON, dispositivos D-Link, varios vendedores CCTV-DVR, dispositivos que utilizan Realtek SDK con el daemon miniigd, EirD1000 enrutadores inalámbricos, dispositivos de Netgear DGN1000, dispositivos Netgear R7000 y R6400, MVPower DVR, routers de Huawei HG532, routers linsys de la serie E y ThinkPHP 5.0.23 / 5.1.31”, - escribió expertos TrendMicro.
Los expertos señalan que 11 de 13 exploits para el conjunto anterior se reunieron en Omni software malicioso ataques que se identificó como Mirai. Uno de tales módulos de malware ha sido una secuencia de comandos para el router Huawei HG532 la piratería a través de la CVE-2017 a 17215 vulnerabilidad. Bug fue descubierto en noviembre 2017, y para el final de diciembre de atacantes empezado a utilizar.
Uno más a menudo utilizado por los ciberdelincuentes exploit está vinculada a las vulnerabilidades de derivación de autentificación en Dasan GPON-routers. la explotación común de CVE-2.018 a 10.561 y CVE-2018 a 10562 insectos da un atacante la oportunidad de obtener acceso a la configuración del dispositivo y ejecutarlo en el entorno con permisos de superusuario.
Excepto los módulos desarrollados por autores Omni, cibercriminales cambio en la composición de la nueva versión antigua escritura de Mirai para los routers Linksys piratería, antes notado en las campañas de malware TheMoon. Uno más exploit apunta Linux-máquinas con ThinkPHP marco y permite la ejecución remota de código en el entorno vulnerables.
leer también: Los investigadores encontraron vulnerabilidades en el protocolo WPA3 que permiten obtener las contraseñas Wi-Fi
Muy a menudo botnet utiliza infectado IO-equipo para la organización de los ataques DDoS. Como especialistas en seguridad de Internet Nota, más agradables que los creadores de una nueva versión de Mirai copiar el código de varias variantes de malware, tratando de aumentar el número de dispositivos que se infectaron en los marcos de una empresa.
Fuente: https://www.scmagazine.com
