Специалисты в области информационной безопасности обнаружили в дикой природе ранее неизвестный вариант зловреда Mirai, который использует набор из 13 известных эксплойтов для атак на целевые устройства.

Новый IoT-бот оснащен сканерами для поиска соответствующих уязвимостей в роутерах различных производителей, IP-камерах, видеорегистраторах и другом оборудовании. По отдельности все экземпляры полезной нагрузки уже встречались исследователям в других кампаниях Mirai, однако их объединение в одном образце они видят впервые.

Как и в большинстве известных вариантов бота, в новой сборке используется XOR-шифрование, затрудняющее анализ. В код вредоносной программы вшит адрес центра управления, а также хранилищ с необходимыми для атаки модулями. Файловые серверы скрываются за службой бесплатных динамических DNS.

Эксперты отмечают, что 11 из 13 эксплойтов, включенных в состав набора, уже встречались в атаках зловреда Omni, идентифицированного как форк Mirai. Одним из таких вредоносных модулей стал скрипт для взлома роутеров Huawei HG532 через уязвимость CVE-2017-17215. Баг обнаружили в ноябре 2017 года, и уже к середине декабря его начали атаковать злоумышленники.

Еще один часто используемый киберпреступниками эксплойт связан с двумя уязвимостями обхода аутентификации в GPON-маршрутизаторах Dasan. Совместная эксплуатация багов CVE-2018-10561 и CVE-2018-10562 дает возможность атакующему получить доступ к настройкам устройства и выполнить в его среде команды с root-привилегиями.

Кроме модулей, разработанных авторами Omni, киберпреступники применяют в составе новой сборки Mirai скрипт для взлома роутеров Linksys, впервые замеченный в кампаниях зловреда TheMoon. Еще одни эксплойт нацелен на Linux-машины с фреймворком ThinkPHP и позволяет удаленно выполнить любой код в уязвимой системе.

Чаще всего операторы нового ботнета используют зараженное IoT-оборудование для организации DDoS-атак. Как указывают ИБ-специалисты, скорее всего, создатели нового штамма Mirai просто скопировали код из нескольких вариантов зловреда, рассчитывая увеличить количество устройств, которые будут инфицированы в рамках одной кампании.

Категории: Аналитика, Вредоносные программы