Эксперты Fortinet предупреждают о появлении новой вариации ботнета Mirai. Напомню, что ботнеты на основе малвари Mirai чаще всего сканируют сеть в поисках уязвимых IoT-девайсов, к которым можно подключиться посредством Telnet. Малварь имеет жестко закодированный и весьма длинный список учетных данных, использующихся по умолчанию в различных гаджетах. Однако новая версия Mirai, получившая имя Wicked, вооружена рядом эксплоитов для уязвимых IoT-устройств.

Исследователи пишут, что некоторые эксплоиты, которые использует Wicked, довольно старые, однако IoT-устройства зачастую обновляются с большим опозданием (если обновляются вообще), поэтому операторам ботнета этот нюанс, очевидно, не мешает.

Так, малварь сканирует порты 8080, 8443, 80 и 81 и пытается установить соединение с потенциально уязвимым девайсом, а после задействовать эксплоит. По порту 8080 Wicked атакует роутеры компании Netgear: DGN1000 и DGN2200 v1, которые так же атакует ботнет Reaper. 81 порт используется для эксплуатации RCE-бага в камерах видеонаблюдения. В свою очередь, порт 8443 малварь использует для атак и осуществления инъекции команд в устройства Netgear R7000 и R6400 (CVE-2016-6277).

Кроме того, исследователи обнаружили в коде малвари SoraLOADER, что, казалось бы, указывало на связь с ботнетом Sora. Однако специалисты выяснили, что после успешной компрометации устройства Wicked загружал на него дополнительный пейлоад в виде бота Owari (еще одна разновидность Mirai). Но к моменту проведения исследования бота Owari уже «сменил на посту» бот Omni.

Все это заставило экспертов предположить, что операторы Wicked имеют отношение ко всем четырем ботнетам: Wicked, Sora, Owari и Omni. Специалисты пишут, что изначально бот Wicked, очевидно, должен был использоваться ботнетом Sora, но позже его авторы предпочли перепрофилировать разработку под новый проект. В настоящее время, по мнению исследователей, Sora и Owari  окончательно заброшены, тогда как Omni – это текущий активный проект вирусописателей.

Оставить мнение