Новый штамм Mirai атакует сразу через 13 эксплойтов

[RedruMZ]

Специалисты в области информационной безопасности обнаружили в дикой природе ранее неизвестный вариант зловреда Mirai, который использует сразу 13 эксплойтов для атак на целевые устройства. IoT-бот оснащен компонентами для атаки на роутеры различных производителей, IP-камеры, видеорегистраторы и другое оборудование. Вся полезная нагрузка уже встречалась исследователями в кампаниях более старых версий Mirai, однако вместе все 13 эксплойтов используются впервые.
Как и в большинстве известных вариантов бота, авторы новой сборки используют XOR-шифрование, чтобы затруднить идентификацию кода зловреда. В текст программы вшит адрес центра управления, а также хранилищ с необходимыми для атаки модулями. Файловые серверы скрываются за службой бесплатных динамических DNS.
Эксперты отмечают, что 11 из 13 эксплойтов, включенных в состав набора, уже встречались в атаках зловреда Omni, идентифицированного как форк Mirai. Одним из таких вредоносных модулей стал скрипт для взлома роутеров Huawei HG532 через уязвимость CVE-2017-17215. Баг обнаружили в ноябре 2017 года, и уже к середине декабря его начали атаковать злоумышленники.
Еще один часто используемый киберпреступниками эксплойт связан с двумя уязвимостями обхода аутентификации в GPON-маршрутизаторах Dasan. Совместная эксплуатация багов CVE-2018-10561 и CVE-2018-10562 дает возможность атакующему получить доступ к настройкам устройства и выполнить в его среде команды с root-привилегиями.
Кроме модулей, разработанных авторами Omni, киберпреступники применяют в составе новой сборки Mirai старинный скрипт для взлома роутеров Linksys, ранее замеченный в кампаниях зловреда TheMoon. Еще одни эксплойт нацелен на Linux-машины с фреймворком ThinkPHP и допускает удаленное выполнение кода в уязвимой системе.
Чаще всего ботнет использует зараженное IoT-оборудование для организации DDoS-атак. Как указывают ИБ-специалисты, скорее всего, создатели нового штамма Mirai просто скопировали код из нескольких вариантов зловреда, рассчитывая увеличить количество устройств, которые будут инфицированы в рамках одной кампании.