Последний вариант ботнета Mirai использует три новых эксплойта

Последний вариант ботнета Mirai использует три новых эксплойта

Специалисты Fortinet сообщают о появлении нового варианта ботнета Mirai, получившего имя «Wicked Mirai» из-за отдельных строк в коде. Он использует по крайней мере три новых эксплойта в сравнении с прошлой версией, а также устанавливает нового бота.

«Наша команда отметила появление все новых вариантов ботнета Mirai, они появляются благодаря утекшему два года назад исходному коду», — говорится в опубликованном Fortinet отчете.

«Некоторые из новых вариант серьезно модифицированы — добавлены возможности организации вредоносных прокси или майнинга криптовалют. Другие интегрировали несколько эксплойтов, которые эксплуатируют как известные, так и неизвестные бреши. Именно таким является новый вариант, которому мы дали имя Wicked Mirai».

Fortinet полагает, что за новым вариантом ботнета стоит тот же киберпреступник (либо группа киберпреступников), который создал и другие модификации вредоноса. Wicked Mirai сканирует порты 8080, 8443, 80 и 81, чтобы инициировать SYN-подключение к IoT-устройствам.

После установления соединения ботнет будет пытаться использовать одну из уязвимостей и загрузить пейлоад в систему. Для этого будет использоваться системный вызов write().

Исследователи обнаружили, что применяемый эксплойт будет зависеть от того порта, к которому вредоносу удалось подключиться. Ниже приводим список устройств, которые атакует Wicked Mirai:

  • Port 8080: Маршрутизаторы Netgear DGN1000 и DGN2200 v1 (также атакуются ботнетом Reaper);
  • Port 81: CCTV-DVR Удаленное выполнение кода;
  • Port 8443: Netgear R7000 и R6400 инъекция команд (CVE-2016-6277);
  • Port 80: Invoker-шелл на скомпрометированных веб-серверах.

Анализ ботнета также выявил наличие строки SoraLOADER, которая, как полагают специалисты, отвечает за распространение ботнета Sora. Однако дальнейшее исследование показало, что Wicked Mirai пытается загрузить другой ботнет — Owari Mirai.

Вредоносная составляющая загружается с домена hxxp://185[.]246[.]152[.]173/exploit/owari.{extension}.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Anonymous опубликовали персональные данные французских полицейских

Знаменитая группа хакеров Anonymous на этот раз решила ударить по Франции. На днях они слили в Сеть персональные данные, принадлежащие нескольким сотням французских полицейских. Среди опубликованной информации были имена и контактные данные.

Информацию о сливе Anonymous по традиции опубликовали в своем блоге на сайте CyberGuerrilla. Судя по изложенной позиции, хакеры недовольны чрезмерно жесткими действиями французских правоохранителей.

Недовольство Anonymous, предположительно, могло быть вызвано недавними событиями, связанными с арестом около двух тысяч протестующих, так называемых «желтых жилетов». За решетку тогда поместили 1220 протестующих.

Anonymous, обращаясь преимущественно к правоохранителям и их жертвам, заявили, что не приемлют такого рода угнетения со стороны полицейских. Хакеры считают, что задержание проводилось с притеснением прав человека.

В результате Anonymous опубликовали имена, фамилии, род деятельности, номера телефонов, адреса электронной почты правоохранителей Франции.

Напомним, что в начале месяца группировка Anonymous опубликовала очередную порцию документов, касающихся британской инициативы «Integrity Initiative».

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru