<div id="post_message_796447">

Ботнет на базе Mirai массово атакует цифровые видеорегистраторы в разных странах, используя известную уязвимость <a href="https://www.cve.org/CVERecord?id=CVE-2024-3721" target="_blank">CVE-2024-3721</a>. По данным «<a href="https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/" target="_blank">Лаборатории Касперского</a>», большинство инцидентов пришлось на Россию, Китай, Египет, Индию, Бразилию и Турцию. Под угрозой могут находиться еще более 50 000 уязвимых устройств по всему миру.<br/>
<br/>
Исследователи сообщают, что в ходе анализа активности вокруг своих Linux-ханипотов, они обнаружили попытку развернуть малварь с использованием эксплоита для уязвимости CVE-2024-3721. Вредоносом оказался новый вариант Mirai.<br/>
<br/>
Основной целью ботнета в рамках текущей кампании стали цифровые видеорегистраторы (DVR, Digital Video Recorder). Такие устройства используются во многих отраслях, в том числе для обеспечения общественной безопасности и защиты инфраструктуры предприятий. DVR записывают и обрабатывают данные с камер, установленных в жилых домах, супермаркетах, офисах и складах, а также на территории заводов, аэропортов, железнодорожных станций и образовательных учреждений.<br/>
<br/>
В отчете экспертов отмечается, что в новой версии Mirai реализованы механизмы для обнаружения и обхода сред виртуальных машин (VM) и эмуляторов. Это позволяет малвари оставаться незамеченной и продолжать вредоносную активность на зараженных устройствах.<br/>
<br/>
Чтобы определить, не работает ли он на виртуальной машине или QEMU, вредонос перечисляет все процессы, пока не найдет упоминание VMware или QEMU-arm.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/519034/mirai-botnet-variant3.jpg"/><br/>
<br/>
Также малварь проверяет, не работает ли бот вне разрешенного каталога, опираясь на жестко закодированный список допустимых каталогов.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/519034/mirai-botnet-variant4.jpg"/><br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Исходный код Mirai <a href="https://xakep.ru/2016/10/03/mirai-source-code/" target="_blank">был опубликован</a> в сети около десяти лет назад. С тех пор разные группы злоумышленников адаптировали и модифицировали его, чтобы создавать масштабные ботнеты, в основном для DDoS-атак или кражи информации. Множество таких ботов постоянно ищет новые устройства для заражения — для этого используются недоработки, которые не были своевременно устранены в IoT-устройствах и серверах. Проанализировав открытые источники, в рамках новой кампании мы обнаружили в сети более 50 000 уязвимых цифровых видеорегистраторов в разных странах. Это говорит о том, что у обнаруженной версии Mirai есть много потенциальных мишеней для атак», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.</font>
</td>
</tr>
</table>
</div>Исследователи напоминают, что основной целью таких ботнетов является проведение DDoS-атак. Причем большинство ботов не «выживают» после перезагрузки устройства, поскольку прошивка не позволяет вносить изменения в файловую систему. Чтобы защититься от подобных угроз, рекомендуется обновлять устройства сразу же, как только для них появляются патчи.<br/>
<br/>
<a href="https://xakep.ru/2025/06/09/mirai-dvr/" target="_blank">@ xakep.ru</a>
</div>