Исследователи обнаружили новый ботнет на базе Mirai, который активно эксплуатирует RCE-уязвимость в цифровых видеорегистраторах DigiEver DS-2105 Pro и атакует маршрутизаторы TP-Link с устаревшими версиями прошивок.

Эта кампания началась в октябре текущего года. Одна из уязвимостей (не имеет идентификатора CVE), которую эксплуатируют хакеры, была обнаружена исследователем из TXOne и продемонстрирована еще в прошлом году на конференции DefCamp. Тогда исследователь сообщал, что обнаруженная им проблема затрагивает ряд DVR-устройств, однако баг, похоже, до сих пор не исправлен.

Как предупреждают теперь исследователи из компании Akamai, новый ботнет начал эксплуатировать эту проблему в середине ноября, однако были обнаружены свидетельства того, что кампания длится как минимум с сентября 2024 года.

Помимо уязвимости в DigiEver, ботнет также нацелен на CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 в маршрутизаторах Teltonika RUT9XX.

Уязвимость, используемая для взлома устройств DigiEver, представляет собой проблему удаленного выполнения кода (RCE), и хакеры нацелены на URI /cgi-bin/cgi_main. cgi, который некорректно проверяет вводимые пользователем данные. Проблема позволяет удаленным неаутентифицированным злоумышленникам выполнять команды типа curl и chmod через определенные параметры (например, поле ntp в HTTP POST-запросах).

В Akamai отмечают, что атаки ботнета весьма похожи на то, что в прошлом году описывал в своей презентации эксперт из TXOne.

С помощью инъекции команд злоумышленники получают бинарник малвари с удаленного сервера и делают устройство частью ботнета. Закрепиться в систему злоумышленникам помогает создание cron-заданий.

После компрометации зараженные девайсы используются для проведения DDoS-атак, а также атак на другие устройства  с помощью наборов эксплоитов и готовых списков учетных данных.

По словам экспертов, используемый в этой кампании вариант Mirai отличается использованием шифрования XOR и ChaCha20 и нацеленностью на широкий спектр системных архитектур, включая x86, ARM и MIPS.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии