Ботнет на базе Mirai массово атакует цифровые видеорегистраторы в разных странах, используя известную уязвимость CVE-2024-3721. По данным «Лаборатории Касперского», большинство инцидентов пришлось на Россию, Китай, Египет, Индию, Бразилию и Турцию. Под угрозой могут находиться еще более 50 000 уязвимых устройств по всему миру.
Исследователи сообщают, что в ходе анализа активности вокруг своих Linux-ханипотов, они обнаружили попытку развернуть малварь с использованием эксплоита для уязвимости CVE-2024-3721. Вредоносом оказался новый вариант Mirai.
Основной целью ботнета в рамках текущей кампании стали цифровые видеорегистраторы (DVR, Digital Video Recorder). Такие устройства используются во многих отраслях, в том числе для обеспечения общественной безопасности и защиты инфраструктуры предприятий. DVR записывают и обрабатывают данные с камер, установленных в жилых домах, супермаркетах, офисах и складах, а также на территории заводов, аэропортов, железнодорожных станций и образовательных учреждений.
В отчете экспертов отмечается, что в новой версии Mirai реализованы механизмы для обнаружения и обхода сред виртуальных машин (VM) и эмуляторов. Это позволяет малвари оставаться незамеченной и продолжать вредоносную активность на зараженных устройствах.
Чтобы определить, не работает ли он на виртуальной машине или QEMU, вредонос перечисляет все процессы, пока не найдет упоминание VMware или QEMU-arm.
Также малварь проверяет, не работает ли бот вне разрешенного каталога, опираясь на жестко закодированный список допустимых каталогов.
«Исходный код Mirai был опубликован в сети около десяти лет назад. С тех пор разные группы злоумышленников адаптировали и модифицировали его, чтобы создавать масштабные ботнеты, в основном для DDoS-атак или кражи информации. Множество таких ботов постоянно ищет новые устройства для заражения — для этого используются недоработки, которые не были своевременно устранены в IoT-устройствах и серверах. Проанализировав открытые источники, в рамках новой кампании мы обнаружили в сети более 50 000 уязвимых цифровых видеорегистраторов в разных странах. Это говорит о том, что у обнаруженной версии Mirai есть много потенциальных мишеней для атак», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.
Исследователи напоминают, что основной целью таких ботнетов является проведение DDoS-атак. Причем большинство ботов не «выживают» после перезагрузки устройства, поскольку прошивка не позволяет вносить изменения в файловую систему. Чтобы защититься от подобных угроз, рекомендуется обновлять устройства сразу же, как только для них появляются патчи.
