Операторы Gitpaste-12 размещают компоненты вредоноса на платформах GitHub и Pastebin.
https://www.securitylab.ru/upload/ib...fc67d16df7.jpg
Исследователи безопасности из Juniper Threat Labs https://blogs.juniper.net/en-us/thre...ch/gitpaste-12новый ботнет, получивший название Gitpaste-12. Вредонос использует платформы GitHub и Pastebin для размещения кода компонентов и использует 12 разных способов для компрометации систем.
Эксперты зафиксировали первые атаки Gitpaste-12 15 октября 2020 года, однако на платформе GitHub сам вредонос был обнаружен еще 9 июля. Операторы Gitpaste-12 в основном атакуют серверы x86 на базе Linux и IoT-устройства на базе процессоров Linux ARM и MIPS.
На первом этапе атаки Gitpaste-12 пытается использовать известные эксплоиты для взлома систем и может попытаться осуществить брутфорс-атаку. После взлома вредоносная программа загружает скрипт из Pastebin, который повторно запускается каждую минуту. Как предполагают эксперты, таким образом и обновляется ботнет.
Основной скрипт оболочки, загруженный на устройство жертвы во время атаки, начинает загружать и выполнять компоненты с GitHub. После этого вредоносная программа подготавливает целевую среду, устраняя системные средства защиты, такие как правила межсетевого экрана и стандартное программное обеспечение для предотвращения и мониторинга киберугроз. Исследователи обнаружили скрипт, содержащий комментарии на китайском языке и команды для отключения некоторых инструментов безопасности. В одном из случаев команды отключали агенты облачной безопасности, указывая на намерения киберпреступников атаковать инфраструктуру общедоступного облака, предоставляемую Alibaba Cloud и Tencent.
Gitpaste-12 также имеет возможности для майнинга криптовалюты Monero, а для распространения на другие устройства использует 11 уязвимостей и брутфорс-атаки на telnet-протокол. В числе эксплуатируемых уязвимости в маршрутизаторах Asus ( CVE-2013-5948 ), маршрутизаторах Netlink GPON (EDB-ID: 48225), IP-камерах AVTECH (EDB-ID: 40500), маршрутизаторах Huawei (CVE-2017-17215), фреймворке Apache Struts ( CVE-2017-5638 ), СУБД Mongo DB (CVE-2019-10758), Realtek SDK ( CVE-2014-8361 ) и пр.
Исследователи сообщили администраторам сервисов о URL-адресе на Pastebin и репозитории git, и те были отключены 30 октября 2020 года. Хотя данные действия и должны остановить распространение ботнета, его операторы могут использовать другой хостинг или создать другую учетную запись на GitHub или Pastebin.