Очередной ботнет, подключившийся к атаке на роутеры Dasan, использует неизвестный ранее баг оборудования. Таково мнение ИБ-экспертов компании Qihoo 360, изучивших вредоносный код, который сеть пытается выполнить на скомпрометированных устройствах.

Как сообщили исследователи, к пяти ботнетам, развернувшим кампанию против GPON-роутеров южнокорейского производителя, присоединилась старейшая зомби-сеть TheMoon. Опоздавшие к началу массированной атаки киберпреступники используют новый эксплойт.

Специалисты не раскрывают технические детали принципа работы зловреда, однако утверждают, что протестировали его полезную нагрузку на двух разных моделях маршрутизаторов Dasan. По словам экспертов, вредоносная программа достигает своей цели и эффективна.

Напомним, ранее пять зомби-сетей атаковали две уже известные бреши тех же роутеров — CVE-2018-10561 и CVE-2018-10562. Один из багов позволяет обходить систему авторизации домашних GPON-роутеров, а второй предоставляет злоумышленникам возможность удаленно выполнять на устройстве команды с root-привилегиями.

Первоначально специалисты предполагали, что под угрозой находится около миллиона маршрутизаторов, однако позже южнокорейский вендор заявил, что число скомпрометированных устройств не превышает 240 тыс. и все они устаревшие.

Несмотря на оптимизм производителя, ботнет Satori, чей зловред изначально содержал ошибку, активно применяет роутеры Dasan для атаки на майнинговые фермы.

Ботнет TheMoon известен с 2014 года. Сперва сеть специализировалась на кампаниях против серверов под управлением Linux, однако позже переключилась на IoT-устройства.

Категории: Вредоносные программы, Главное, Уязвимости