Специалисты Qualys обнаружили новый ботнет Murdoc, который атакует уязвимости в IP-камерах Avtech и маршрутизаторах Huawei HG532. Ботнет уже заразил более 1370 систем (в основном в Малайзии, Мексике, Таиланде, Индонезии и Вьетнаме).
Сообщается, что построенный на базе IoT-малвари Mirai Murdoc активен с июля 2024 года.
Для получения первоначального доступа к IoT-устройствам ботнет использует известные уязвимости, включая CVE-2024-7029 и CVE-2017-17215. После эксплуатации багов происходит загрузка пейлоада следующего этапа с помощью шелл-скрипта. Этот скрипт скачивает основную малварь в зависимости от архитектуры целевого девайса.
Исследователи пишут, что конечной целью злоумышленников является использование ботнета для организации DDoS-атак, как и в случае с другими ботнетами на базе Mirai
Поиск через Censys показывает, что на данный момент в сети можно найти более 37 995 уязвимых камер Avtech, большинство из которых расположены в Тайване, Вьетнаме, Индонезии, США и Шри-Ланке.
Также отмечается, что операторы ботнета используют более 100 управляющих серверов, которые устанавливают связь со скомпрометированными девайсами и распространяют вредоносное ПО.
Напомним, что RCE-проблема CVE-2024-7029 была обнаружена летом 2024 года. Уязвимость связана с функцией Brightness («Яркость») и позволяет неаутентифицированным злоумышленникам осуществлять инъекции команд с помощью специально подготовленных запросов.
Хотя проблема затрагивает все IP-камеры Avtech AVM1203, работающие на прошивках до версии Fullmg-1023-1007-1011-1009, поддержка этих камер уже прекращена, а срок их эксплуатации истек еще в 2019 году. Так что патчей для CVE-2024-7029 нет и выпускать их производитель не планирует.
