Исследователь из Akamai Technologies обнаружил Mirai-подобного зловреда, который распространяется с помощью 26 эксплойтов разной давности. Примечательно, что его операторы пытаются использовать уязвимости не только в прошивках роутеров, NAS-устройств и IoT, но также в сетевом ПО и веб-приложениях, используемых в корпоративных средах.

Новый DDoS-бот, о котором идет речь, появился на радарах специалистов по ИБ в начале текущего месяца. Первыми его обнаружили аналитики из Palo Alto Networks — на тот момент в арсенал ботоводов входило 18 эксплойтов. Чуть позже эксперт Akamai нашел более свежий вариант и дополнительные эксплойты.

Автор новой находки присвоил ей кодовое имя Echobot; по словам исследователя, богатый набор эксплойтов — это единственное, что отличает данного зловреда от прочих клонов Mirai, которые стали появляться после слива исходного кода DDoS-бота и продолжают плодиться по сей день. Как и его многочисленные собратья, Echobot снабжен списком дефолтных логинов и паролей для самораспространения и способен проводить DDoS-атаки по команде операторов.

Все 26 уязвимостей, используемых для доставки Echobot, позволяют удаленно выполнить на устройстве вредоносную команду либо произвольный код. Большинство брешей хорошо известны; некоторые существуют уже 10 лет и так и не получили заплатку. Большинство уязвимых устройств давно сняты с поддержки, но они еще кое-где функционируют, и злоумышленники этим пользуются. Примечательно, что некоторые уязвимости не имели CVE-идентификаторов, и исследователю пришлось обратиться в MITRE, чтобы те исправили упущение.

Кроме роутеров, сетевых накопителей и смарт-устройств, в списке уязвимостей, приведенном в блог-записи Akamai, упомянуты решения явно корпоративного класса, такие как:

  • платформа VMware NSX SD-WAN, предназначенная для развертывания и оптимизации работы глобальных сетей (CVE-2018-6961);
  • система U.motion разработки Schneider Electric, используемая для автоматизации управления жилыми и производственными помещениями (CVE-2018-7841);
  • программно-аппаратные комплексы KACE для управления IT-активами предприятия, вендор Quest Software (CVE-2018-11138);
  • сервер приложений Oracle WebLogic (CVE-2019-2725, патч вышел в конце апреля).

Бинарные коды Echobot размещены на виртуальном сервере в Болгарии; судя по временным меткам, 7 июня файлы были обновлены. Для обращения к C&C-серверу зловред использует два домена, оба в зоне .PW. В настоящее время преобразования в какой-либо IP-адрес по ним не происходит. Просмотр DNS-записей показал, что ранее они указывали на серверы в Италии и США.

Армия Mirai-подобных ботов растет, и все они стремятся расширить свои владения. Некоторые создатели таких зловредов вооружают их списками конкурентов, чтобы те могли очистить себе место на зараженном устройстве. Другие вирусописатели, подобно авторам Echobot, расширяют спектр атакуемых платформ, умножая векторы атаки. Так, в мае была обнаружена итерация Mirai, распространяемая через 13 эксплойтов, а двумя месяцами ранее стало известно о другой аналогичной находке — для доставки зловреда операторы использовали 27 эксплойтов.

Категории: Аналитика, Вредоносные программы, Уязвимости