Naujasis „Mirai“ robotų tinklas skirtas pramoniniams maršrutizatoriams su nulinės dienos išnaudojimais


Santykinai naujas „Mirai“ pagrindu sukurtas robotų tinklas tapo vis sudėtingesnis ir dabar naudoja nulinės dienos išnaudojimą pramoninių maršrutizatorių ir išmaniųjų namų įrenginių saugumo trūkumams šalinti.

Pasak „Chainxin X Lab“ tyrėjų, stebėjusių robotų tinklo kūrimą ir atakas, anksčiau nežinomų pažeidžiamumų išnaudojimas prasidėjo 2024 m. lapkritį.

Viena iš saugumo problemų yra CVE-2024-12856, „Four-Faith“ pramoninių maršrutizatorių pažeidžiamumas, kurį „VulnCheck“ aptiko gruodžio pabaigoje, bet pastebėjo pastangas ja pasinaudoti maždaug gruodžio 20 d.

Norėdami panaudoti nulinės dienos eksploatacijas, CVE-2024-12856 naudojo nulinės dienos eksploataciją, paveikdamas „Four-Faith“ maršrutizatorius, kartu su kitais pasirinktiniais išnaudojimais „Neterbit“ maršrutizatorių ir „Vimar“ išmaniųjų namų įrenginių trūkumams pašalinti.

Botneto profilis

Botnetas, kurio pavadinimas yra homofobiška nuoroda, taip pat remiasi pasirinktiniais išnaudojimais, skirtais nežinomiems „Neterbit“ maršrutizatorių ir „Vimar“ išmaniųjų namų įrenginių pažeidžiamumui.

Jis buvo aptiktas praėjusių metų vasarį ir šiuo metu kasdien skaičiuoja 15 000 aktyvių robotų mazgų, daugiausia Kinijoje, JAV, Rusijoje, Turkijoje ir Irane.

Panašu, kad pagrindinis jos tikslas yra atlikti paskirstytą paslaugų atsisakymą (DDoS) pagal nurodytus pelno tikslus, kasdien nukreipiant į šimtus subjektų, o didžiausias aktyvumas pasiekia 2024 m. spalį ir lapkritį.

Tikslinės šalys
Tikslinės šalys
Šaltinis: X Lab

Kenkėjiška programinė įranga naudoja viešųjų ir privačių išnaudojimų derinį, kad išplistų daugiau nei 20 pažeidžiamumų į įrenginius, kuriuose veikia internetas, taikant DVR, pramoninius ir namų maršrutizatorius bei išmaniuosius namų įrenginius.

Tiksliau, ji skirta toliau nurodytam tikslui.

  • ASUS maršrutizatoriai (per N-day exploit).
  • „Huawei“ maršrutizatoriai (per CVE-2017-17215)
  • Neterbit maršrutizatoriai (priskirtas išnaudojimas)
  • LB-Link maršrutizatoriai (per CVE-2023-26801)
  • Keturių tikėjimų pramoniniai maršrutizatoriai (per nulinę dieną dabar stebimi kaip CVE-2024-12856)
  • PZT kameros (per CVE-2024-8956 ir CVE-2024-8957)
  • Kguard DVR
  • Lilin DVR (per nuotolinį kodo vykdymo išnaudojimą)
  • Bendrieji DVR (naudojant tokius išnaudojimus kaip TVT editBlackAndWhiteList RCE)
  • „Vimar“ išmanieji namų įrenginiai (tikriausiai naudojant neatskleistą pažeidžiamumą)
  • Įvairūs 5G / LTE įrenginiai (tikriausiai dėl netinkamos konfigūracijos arba silpnų kredencialų)

Botnetas turi brutalų priverstinį modulį, skirtą silpniems Telnet slaptažodžiams, naudoja individualų UPX paketą su unikaliais parašais ir diegia „Mirai“ pagrįstas komandų struktūras klientams atnaujinti, tinklams nuskaityti ir DDoS atakoms vykdyti.

Atakos apimtis
Botnet atakų apimtys
Šaltinis: X Lab

X Lab praneša, kad botneto DDoS atakos yra trumpos, trunka nuo 10 iki 30 sekundžių, tačiau yra labai intensyvios, viršija 100 Gbps srautą, o tai gali sukelti trikdžių net ir tvirtoje infrastruktūroje.

„Atakų taikiniai yra visame pasaulyje ir platinami įvairiose pramonės šakose“, – aiškina X Lab.

„Pagrindiniai atakų taikiniai yra paskirstyti Kinijoje, Jungtinėse Valstijose, Vokietijoje, Jungtinėje Karalystėje ir Singapūre“, – teigia mokslininkai.

Apskritai, robotų tinklas demonstruoja unikalų gebėjimą išlaikyti aukštą užkrėtimo dažnį įvairiuose įrenginių tipuose, naudojant išnaudojimus n ir net nulinės dienos trūkumams.

Vartotojai gali apsaugoti savo įrenginius vadovaudamiesi bendra rekomendacija įdiegti naujausius įrenginio naujinimus iš pardavėjo, išjungti nuotolinę prieigą, jei to nereikia, ir pakeisti numatytuosius administratoriaus paskyros kredencialus.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Klaipedos miesto naujienos - Miesto naujienos - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Teniso treniruotės - Pranešimai spaudai - Kauno naujienos - Regionų naujienos - Palangos naujienos