Trendmicro spesialister oppdaget i “vill natur” ukjent før variant av Mirai malware som brukes 13 utnytter samtidig for angrep på målrettede anordninger.
JegoT-bot er utstyrt med komponenter for angrepet på rutere av forskjellige produsenter, IP-kameraer og andre enheter.Alle nyttelast forskere allerede møtt i kampanjer av eldre Mirai versjoner, men sammen alle 13 utnyttelser blir brukt for første gang.
Som i de fleste tidligere bot varianter, Forfatterne av ny versjon bruk XOR-koding å komplisere malware identifikasjon. I programmets teksten er integrert adressen til kontrollsenter, og lagerbeholdninger med behov for angrep moduler. Filservere er skjult bak den dynamiske DNS-tjenesten.
"Med disse 13 Utnytter, denne “Backdoor.Linux.MIRAI.VWIPT” variant er i stand til å målrette Vacron nettverksvideoopptakere, Dasan GPON rutere, D-Link-enheter, forskjellige CCTV-dvr leverandører, enheter ved hjelp av Realtek SDK med miniigd nissen, EirD1000 trådløse rutere, Netgear DGN1000 enheter, Netgear R7000 og R6400 enheter, MVPower DVR, Huawei HG532 rutere, Linsys E-serien rutere og ThinkPHP 5.0.23 / 5.1.31”, - skrev Trendmicro eksperter.
Eksperter oppmerksom på at 11 av 13 utnytter for settet ble tidligere møtt i Omni malware angrep som ble identifisert som Mirai. Ett av slike moduler malware var et skript for Huawei HG532 router hacking gjennom CVE-2017-17215 sårbarhet. Bug ble oppdaget i november 2017, og ved utgangen av desember angripere begynte å bruke det.
En mer ofte brukt ved webkriminelle utnyttelsen er knyttet til sikkerhetsproblemer av autentiserings bypass i DASAN GPON-rutere. Felles utnyttelse av CVE-2018-10561 Og CVE-2018-10562 bugs gir en sjanse angriper å få tilgang til enhetsinnstillinger og utføre det i miljøet med root-privilegier.
Unntatt moduler utviklet av Omni-forfattere, cyberkriminelle endring i sammensetningen av den nye Mirai versjonen gamle script for rutere hacking Linksys, tidligere lagt merke til i TheMoon malware kampanjer. En utnytte retter seg mot Linux-maskiner med ThinkPHP rammeverk og muliggjør ekstern kode i utsatte omgivelser.
Les også: Forskerne fant svakheter i WPA3 protokoll som gjør det mulig å skaffe Wi-Fi-passord
Oftest botnet bruker infiserte IOT-utstyr for organisering av DDoS-angrep. Som note Internett-sikkerhet spesialister, mest likable at skaperne av nye Mirai versjon kopiert kode fra flere varianter av malware, prøver å øke antall enheter som vil bli smittet i rammene av ett selskap.
Kilde: https://www.scmagazine.com
