Аналитики Juniper Threat Labs заметили, что обновление Python-ботнета FreakOut (также известного как Necro и N3Cr0m0rPh) добавило в арсенал малвари недавно опубликованный PoC-эксплоит для Visual Tools DVR. Уязвимые устройства представляют собой девайсы для цифровой видеозаписи (DVR), применяемые в области профессионального видеонаблюдения и поддерживающие до 16 камер и передачу видео в реальном времени на два монитора.

Изучив свежий образец FreakOut, эксперты предупредили, что Visual Tools DVR VX16 4.2.28.0 с сайта visual-tools.com подвергается атакам с использованием свежей уязвимости, которая пока не имеет идентификатора CVE.

Взлом таких устройств в теории позволяет злоумышленникам проникнуть во внутреннюю сеть компании, а также сами девайсы могут использоваться в составе DDoS-ботнета. Однако в данном конкретном случае операторов FreakOut  больше интересует злоупотребление скомпрометированными аппаратными ресурсами для добычи криптовалюты Monero.

PoC-эксплоит, который представляет собой инъекцию команд без аутентификации, был опубликован в июле 2021 года, и теперь используется наряду с множеством других эксплоитов, включая:

  • CVE-2020-15568: TerraMaster TOS ниже версии 4.1.29;
  • CVE-2021-2900: Genexis PLATINUM 4410 2.1 P4410-V2-1.28;
  • CVE-2020-25494: Xinuos (ранее SCO) OpenServer v5 и v6;
  • CVE-2020-28188: TerraMaster TOS;
  • CVE-2019-12725: Zeroshell 3.9.0.

Отчет экспертов гласит, что еще одним интересным аспектом работы ботнета является использование DGA, который применяется как для C&C-серверов, так и для серверов загрузки. Похоже, малварь использует разный seed для каждой кампании и уже создала около 253 уникальных псевдослучайных доменов, которые будут использоваться в операциях.

Также отмечается, что в свежих образцах FreakOut были обнаружены и другие немаловажные изменения, например:

  • из кода малвари удален сканер SMB;
  • URL-адрес для внедрения скрипта изменен с жестко заданного на DGA;
  • прокси TOR Socks с поддержкой DDoS заменены на новые.

 

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии