New Mirai type bruker for angrep benytter samtidig 13 Utnytter

Trendmicro spesialister oppdaget i “vill natur” ukjent før variant av Mirai malware som brukes 13 utnytter samtidig for angrep på målrettede anordninger.

JegoT-bot er utstyrt med komponenter for angrepet på rutere av forskjellige produsenter, IP-kameraer og andre enheter.

Alle nyttelast forskere allerede møtt i kampanjer av eldre Mirai versjoner, men sammen alle 13 utnyttelser blir brukt for første gang.

Som i de fleste tidligere bot varianter, Forfatterne av ny versjon bruk XOR-koding å komplisere malware identifikasjon. I programmets teksten er integrert adressen til kontrollsenter, og lagerbeholdninger med behov for angrep moduler. Filservere er skjult bak den dynamiske DNS-tjenesten.

"Med disse 13 Utnytter, denne “Backdoor.Linux.MIRAI.VWIPT” variant er i stand til å målrette Vacron nettverksvideoopptakere, Dasan GPON rutere, D-Link-enheter, forskjellige CCTV-dvr leverandører, enheter ved hjelp av Realtek SDK med miniigd nissen, EirD1000 trådløse rutere, Netgear DGN1000 enheter, Netgear R7000 og R6400 enheter, MVPower DVR, Huawei HG532 rutere, Linsys E-serien rutere og ThinkPHP 5.0.23 / 5.1.31”, - skrev Trendmicro eksperter.

Eksperter oppmerksom på at 11 av 13 utnytter for settet ble tidligere møtt i Omni malware angrep som ble identifisert som Mirai. Ett av slike moduler malware var et skript for Huawei HG532 router hacking gjennom CVE-2017-17215 sårbarhet. Bug ble oppdaget i november 2017, og ved utgangen av desember angripere begynte å bruke det.

En mer ofte brukt ved webkriminelle utnyttelsen er knyttet til sikkerhetsproblemer av autentiserings bypass i DASAN GPON-rutere. Felles utnyttelse av CVE-2018-10561 Og CVE-2018-10562 bugs gir en sjanse angriper å få tilgang til enhetsinnstillinger og utføre det i miljøet med root-privilegier.

Unntatt moduler utviklet av Omni-forfattere, cyberkriminelle endring i sammensetningen av den nye Mirai versjonen gamle script for rutere hacking Linksys, tidligere lagt merke til i TheMoon malware kampanjer. En utnytte retter seg mot Linux-maskiner med ThinkPHP rammeverk og muliggjør ekstern kode i utsatte omgivelser.

Les også: Forskerne fant svakheter i WPA3 protokoll som gjør det mulig å skaffe Wi-Fi-passord

Oftest botnet bruker infiserte IOT-utstyr for organisering av DDoS-angrep. Som note Internett-sikkerhet spesialister, mest likable at skaperne av nye Mirai versjon kopiert kode fra flere varianter av malware, prøver å øke antall enheter som vil bli smittet i rammene av ett selskap.

Kilde: https://www.scmagazine.com

Om Trojan Killer

Carry Trojan Killer Portable på minnepinne. Vær sikker på at du er i stand til å hjelpe din PC motstå eventuelle cyber trusler uansett hvor du går.

Sjekk også

MageCart på Heroku Cloud Platform

Forskere fant flere MageCart Web Skimmers På Heroku Cloud Platform

Forskere ved Malwarebytes rapportert om å finne flere MageCart web skimmere på Heroku Cloud Platform …

Android spyware CallerSpy

CallerSpy spyware masker som en Android-chat program

Trend Micro eksperter oppdaget malware CallerSpy, som masker som en Android-chat program og, …

Legg igjen et svar