Новая версия DDoS-ботнета Hoaxcalls использует 19 векторов атак.
https://www.securitylab.ru/upload/ib...6ba860e820.jpg
Новый вариант DDoS-ботнета Hoaxcalls, который может быть использован для крупномасштабных вредоносных кампаний, https://security.radware.com/ddos-th...lls-evolution/через неисправленную уязвимость, затрагивающую управление сетевой инфраструктурой ZyXEL Cloud CNM SecuManager.
Ботнет Hoaxcalls впервые был обнаружен специалистами из команды Unit 42 компании Palo Alto Networks в конце марта нынешнего года. Для ботнета были характерны три вектора DDoS-атак: UDP flood, DNS flood и HEX flood. Заражение устройств осуществлялось автоматически с помощью уязвимости удаленного выполнения кода в DrayTek Vigor2960 (CVE-2020-8515) и уязвимости удаленной SQL-инъекции в устройствах https://www.securitylab.ru/news/506601.php (CVE-2020-5722).
В начале апреля был обнаружен новый образец Hoaxcalls, добавивший 16 новых векторов атак, однако он распространялся только через уязвимость CVE-2020-5722. Затем, на этой неделе, специалисты из Radware обнаружили третью версию Hoaxcalls, которая распространялась с 75 различных серверов, размещающих вредоносные программы.
Последний вариант Hoaxcalls эксплуатирует неисправленную уязвимость в ZyXEL Cloud CNM SecuManager, связанную со «злоупотреблением незащищенным API из-за небезопасных вызовов eval ():». Когда выполняется вызов API, выходные данные сохраняются в chroot-окружении «Axess», что позволяет злоумышленнику открыть оболочку «connect-back» и получить доступ к устройству.
Как отметили эксперты, наличие неисправленной уязвимости только расширяет число маршрутизаторов и IoT-устройств, которые могут быть заражены Hoaxcalls в будущем, поэтому количество векторов атак будет увеличиваться.