Последний вариант ботнета Mirai использует три новых эксплойта

Олег Иванов 18 Мая 2018 - 09:53

...

Последний вариант ботнета Mirai использует три новых эксплойта

Специалисты Fortinet сообщают о появлении нового варианта ботнета Mirai, получившего имя «Wicked Mirai» из-за отдельных строк в коде. Он использует по крайней мере три новых эксплойта в сравнении с прошлой версией, а также устанавливает нового бота.

«Наша команда отметила появление все новых вариантов ботнета Mirai, они появляются благодаря утекшему два года назад исходному коду», — говорится в опубликованном Fortinet отчете.

«Некоторые из новых вариант серьезно модифицированы — добавлены возможности организации вредоносных прокси или майнинга криптовалют. Другие интегрировали несколько эксплойтов, которые эксплуатируют как известные, так и неизвестные бреши. Именно таким является новый вариант, которому мы дали имя Wicked Mirai».

Fortinet полагает, что за новым вариантом ботнета стоит тот же киберпреступник (либо группа киберпреступников), который создал и другие модификации вредоноса. Wicked Mirai сканирует порты 8080, 8443, 80 и 81, чтобы инициировать SYN-подключение к IoT-устройствам.

После установления соединения ботнет будет пытаться использовать одну из уязвимостей и загрузить пейлоад в систему. Для этого будет использоваться системный вызов write().

Исследователи обнаружили, что применяемый эксплойт будет зависеть от того порта, к которому вредоносу удалось подключиться. Ниже приводим список устройств, которые атакует Wicked Mirai:

Port 8080: Маршрутизаторы Netgear DGN1000 и DGN2200 v1 (также атакуются ботнетом Reaper);
Port 81: CCTV-DVR Удаленное выполнение кода;
Port 8443: Netgear R7000 и R6400 инъекция команд (CVE-2016-6277);
Port 80: Invoker-шелл на скомпрометированных веб-серверах.

Анализ ботнета также выявил наличие строки SoraLOADER, которая, как полагают специалисты, отвечает за распространение ботнета Sora. Однако дальнейшее исследование показало, что Wicked Mirai пытается загрузить другой ботнет — Owari Mirai.

Вредоносная составляющая загружается с домена hxxp://185[.]246[.]152[.]173/exploit/owari.{extension}.

Следующая главная новость »

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »

Читайте также

Мошенники навязывают мессенджер MAX

Яков Шпунт 26 Декабря 2025 - 10:24

Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники активизировали продвижение мессенджера MAX, который всё чаще навязывают своим потенциальным жертвам. Основная причина такого интереса — именно MAX стал основным каналом доставки кодов подтверждения для портала «Госуслуги».

В качестве примера портал AndroidInsider привёл историю с пенсионеркой из Нижнего Тагила, о которой ранее сообщил телеграм-канал «Эксплоит».

Женщине позвонил злоумышленник, представившийся заместителем главного врача больницы, где она ранее работала. Он потребовал установить MAX, сославшись на якобы официальный документ с соответствующим предписанием. От установки приложения пенсионерку в итоге отговорили родственники.

По версии авторов «Эксплоита», целью атаки был «угон» учётной записи на «Госуслугах». Эту версию косвенно подтверждает и тот факт, что с начала декабря многие пользователи при входе на портал сталкивались с экраном, настойчиво предлагающим установить MAX — зачастую без возможности пропустить этот шаг.

В Минцифры официально признали, что интеграция с MAX была реализована для защиты от перехвата кодов подтверждения. При этом в ведомстве заверили, что возможность получения кодов по СМС сохранится для пользователей без смартфонов.

Помимо интеграции с «Госуслугами», в MAX хранятся номера документов, включая СНИЛС, ИНН, полис ОМС и паспортные данные. Эта информация также представляет интерес для мошенников.

Такие данные используются в атаках либо перепродаются на теневом рынке. Дополнительный интерес к MAX усиливает и анонсированная интеграция мессенджера с банковскими сервисами.

Параллельно MAX активно продвигает Минстрой России. Уже с августа начался перевод домовых чатов в российский мессенджер. Глава ведомства Ирек Файзуллин анонсировал для таких чатов новые функции, включая бота для напоминаний об оплате услуг ЖКХ.

При этом в Минстрое пообещали обеспечить высокий уровень защищённости сервиса — что особенно актуально, учитывая, что сфера ЖКХ также привлекает мошенников. Кроме того, домовые чаты активно используются и недобросовестными управляющими компаниями, в том числе для давления на конкурентов.

В прямом эфире подведем итоги года для рынка информационных технологий. Присоединяйтесь! »