В Trend Micro обнаружили, что баг удаленного исполнения кода в фреймворке ThinkPHP используется для распространения еще двух IoT-ботов — Hakai и новичка Yowai.

Напомним, разработчики ThinkPHP оперативно устранили брешь CVE-2018-20062 в начале декабря. Последовавшая затем публикация рабочих эксплойтов, как и следовало ожидать, вызвала всплеск активности, нацеленной на поиск непропатченных сервисов и использование их для засева вредоносного ПО — в основном криптомайнеров и ботов, ориентированных на Linux.

Из последних в настоящее время подобным образом распространяются Miori, IZ1H9, APEP и dark.x86, обнаруженный экспертами Akamai Networks. Все они являются модификациями хорошо известного IoT-бота Mirai, исходный код которого был слит в Сеть осенью 2016 года. Теперь этот список пополнили Hakai и новоявленный преемник Mirai, которого в Trend Micro назвали Yowai. Связанные с ними сканы и попытки заражения через ThinkPHP были впервые зафиксированы две недели назад.

Тестирование показало, что новобранец Yowai получает команды с C&C-сервера на порту 6 и способен проводить DDoS-атаки. Конкурентов зловред не терпит и изгоняет их с зараженного устройства, руководствуясь внушительным перечнем имен.

Оказавшись на роутере, Yowai пытается распространиться на другие сетевые устройства, оперируя списком дефолтных логинов и паролей, а также рядом эксплойтов. Проанализированный образец был способен использовать CVE-2018-20062 в ThinkPHP, CVE-2018-10561 в GPON-роутерах Dasan, CVE-2014-8361 в Realtek SDK, давний RCE-баг в роутерах Cisco Linksys и RCE в видеорегистраторах производства TVT.

Подвергнутый анализу образец Hakai включал код для брутфоса Telnet, позаимствованный у Mirai, однако он оказался нерабочим. По всей видимости, авторы этого варианта IoT-бота сделали ставку на скрытность и оставили в его арсенале лишь эксплойты — RCE в ThinkPHP, CVE-2017-17215 в роутерах Huawei, CVE-2014-8361 в Realtek SDK, CVE-2015-2051 в роутерах D-Link DIR-645 и удаленное выполнение команд в D-Link DSL-2750B.

Категории: Аналитика, Вредоносные программы, Уязвимости