TrendMicro specialisten ontdekt in de “wilde natuur” onbekende vóór variant van Mirai malware die gebruikt 13 exploits in een keer voor aanvallen op gerichte apparaten.
ikoT-bot is uitgerust met onderdelen voor de aanval op routers van verschillende producenten, IP-camera's en andere apparaten.Alle nuttige lading onderzoekers al in campagnes opgewacht door oudere Mirai versies, maar samen alle 13 exploits worden gebruikt voor de eerste keer.
Zoals in de meeste varianten eerder bot's, auteurs van de nieuwe versie gebruik XOR-codering om de identificatie malware's compliceren. In de tekst van het programma is geïntegreerd adres van control center, en opslagplaatsen met de nodige aanvallen modules. Bestandsservers zijn verborgen achter de dynamische DNS-service.
"Met deze 13 exploits, deze “Backdoor.Linux.MIRAI.VWIPT” variant is die zich richten op Vacron netwerk videorecorders, Dasan GPON routers, D-Link apparaten, diverse CCTV-DVR-leveranciers, apparaten met Realtek SDK de miniigd daemon, EirD1000 draadloze routers, Netgear DGN1000 apparaten, Netgear R7000 en R6400 apparaten, MVPower DVR, Huawei HG532 routers, Linsys E-serie routers en ThinkPHP 5.0.23 / 5.1.31”, - schreef TrendMicro experts.
Deskundigen er rekening mee dat 11 van 13 exploits voor de set werden eerder ontmoet in Omni malware aanvallen die werd geïdentificeerd als Mirai. Een van deze malware modules was een script voor Huawei HG532 router hacken door de CVE-2017-17.215 kwetsbaarheid. Bug werd ontdekt in november 2017, en tegen het einde van december aanvallers begon te gebruiken.
Een vaker gebruikt door cybercriminelen wordt gekoppeld aan kwetsbaarheden van authenticatie bypass in Dasan GPON-routers. Gemeenschappelijke exploitatie van CVE-2018-10.561 En CVE-2018-10.562 bugs geeft een kans aanvaller toegang tot de instellingen van het apparaat te krijgen en uit te voeren in het milieu met root-privileges.
Behalve modules ontwikkeld door Omni auteurs, cybercriminelen veranderen in de samenstelling van de nieuwe Mirai versie oude script voor routers hacken Linksys, eerder opgemerkt in TheMoon malware campagnes. Nog een exploit targets Linux-machines met ThinkPHP kader en maakt externe code in kwetsbare omgeving.
Meestal botnet maakt gebruik van besmette ivd-apparatuur voor de organisatie van de DDoS-aanvallen. Als note Internet-security specialisten, meest sympathieke dat de makers van de nieuwe Mirai versie gekopieerd code uit verschillende varianten van malware, proberen om het aantal apparaten dat zal worden besmet in de frames van een vennootschap te verhogen.
