Ботнет BotenaGo нацелен на миллионы устройств Интернета вещей с помощью 33 эксплойтов

12
Правительство США предупреждает об увеличении риска программ-вымогателей во время праздников

Новый ботнет вредоносного ПО BotenaGo был обнаружен с использованием более тридцати эксплойтов для атаки на миллионы маршрутизаторов и устройств Интернета вещей.

BotenaGo был написан на языке Golang (Go), популярность которого в последние годы растет, и авторы вредоносных программ любят его за создание полезных данных, которые труднее обнаружить и перепроектировать.

В случае BotenaGo только шесть из 62 антивирусных движков на VirusTotal помечают образец как вредоносный, а некоторые идентифицируют его как Mirai.

Ориентация на миллионы устройств

BotenaGo включает 33 эксплойта для различных маршрутизаторов, модемов и NAS-устройств, некоторые примечательные примеры приведены ниже:

  • CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: маршрутизаторы D-Link
  • CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: устройства Netgear
  • CVE-2019-19824: маршрутизаторы на основе Realtek SDK
  • CVE-2017-18368, CVE-2020-9054: маршрутизаторы Zyxel и устройства NAS
  • CVE-2020-10987: продукты Tenda
  • CVE-2014-2321: модемы ZTE
  • CVE-2020-8958: Гуанчжоу 1GE ONU

Исследователи AT&T, проанализировавшие новый ботнет, обнаружили, что он нацелен на миллионы устройств с функциями, использующими вышеупомянутые недостатки.

В качестве примера приводится поисковая строка для Boa, который является прекращенным веб-сервером с открытым исходным кодом, используемым во встроенных приложениях, и сервером, который по-прежнему возвращает почти два миллиона подключенных к Интернету устройств на Shodan.

Еще один примечательный пример — это нацеливание на CVE-2020-10173, брешь во внедрении команд в шлюзовых устройствах Comtrend VR-3033, 250 000 из которых все еще могут быть использованы.

После установки вредоносная программа будет прослушивать два порта (31412 и 19412), где ожидает отправки на нее IP-адреса. Как только он будет получен, бот будет использовать каждую уязвимость на этом IP-адресе для получения доступа.

Как только BotenaGo получит доступ, он выполнит удаленные команды оболочки, чтобы задействовать устройство в ботнете.

В зависимости от того, какое устройство нацелено, вредоносная программа использует разные ссылки для получения соответствующей полезной нагрузки.

Однако во время анализа на хост-сервере не было полезных данных, поэтому их нельзя было извлечь для анализа.

Кроме того, исследователи не обнаружили активной связи C2 между BotenaGo и сервером, управляемым субъектом, поэтому они дают три возможных объяснения того, как это работает:

  1. BotenaGo — это только часть (модуль) многоэтапной модульной атаки вредоносного ПО, и он не отвечает за обработку сообщений.
  2. BotenaGo — это новый инструмент, используемый операторами Mirai на определенных машинах, сценарий, поддерживаемый общими ссылками для сброса полезной нагрузки.
  3. Вредоносная программа еще не готова к работе, а образец ее ранней стадии разработки случайно попал в небытие.

В заключение, появление BotenaGo в дикой природе необычно, учитывая его неполный рабочий статус, но его основные возможности не оставляют сомнений в намерениях его авторов.

К счастью, новый ботнет был обнаружен заранее, и индикаторы взлома уже доступны. Тем не менее, пока существует множество уязвимых онлайн-устройств, которые можно использовать, у злоумышленников есть стимул продолжать разработку BotenaGo.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here