IoT-ботнет Mozi теперь атакует сетевые шлюзы Netgear, Huawei и ZTE

[Artifact]

По словам экспертов, сетевые шлюзы представляют собой «лакомый кусочек» для хакеров.

Атакующий IoT-устройства P2P-ботнет Mozi получил новые функции, позволяющие ему сохранять персистентность в сетевых шлюзах производства Netgear, Huawei и ZTE.
Как сообщили специалисты Microsoft Security Threat Intelligence Center и Azure Defender Section 52, сетевые шлюзы представляют собой «лакомый кусочек» для злоумышленников, поскольку они «идеальны для первоначального доступа к корпоративным сетям».
«Заражая маршрутизаторы, они (хакеры – ред.) могут осуществлять атаки "человек посередине" (MITM) с помощью перехвата HTTP и спуфинга DNS с целью компрометации конечных точек и развертывания вымогательского ПО или для вызова нарушения безопасности на объектах ОТ», - сообщается в уведомлении специалистов.
Впервые задокументированный в декабре 2019 года компанией Netlab 360 ботнет Mozi традиционно заражает маршрутизаторы и цифровые видеорегистраторы и включает их в IoT-ботнет, который может использоваться для осуществления DDoS-атак, похищения данных и выполнения полезной нагрузки. Ботнет эволюционировал из исходного кода нескольких семейств вредоносного ПО, в частности Gafgyt, Mirai и IoT Reaper. Mozi распространяется путем подбора ненадежных или заводских паролей, а также путем эксплуатации неисправленных уязвимостей.
Как недавно обнаружили специалисты команды безопасности IoT-устройств компании Microsoft, вредоносное ПО «принимает особые меры для повышения своих шансов на то, чтобы «пережить» перезагрузку и попытки другого вредоносного ПО или ИБ-специалистов вмешаться в его операции». В частности, вредонос пытается получить персистентность на атакуемых устройствах и заблокировать TCP-порты (23, 2323, 7547, 35000, 50023 и 58000), использующиеся для получения удаленного доступа к шлюзам.
Более того, Mozi получил поддержку новых команд, позволяющих ему взламывать HTTP-сеансы и осуществлять спуфинг DNS для переадресации трафика на подконтрольный хакерам домен.
Домашним и бизнес-пользователям маршрутизаторов Netgear, Huawei и ZTE рекомендуется обезопасить свои устройства с помощью надежных паролей и обновлений прошивки до последних версий.