Миллионам роутеров и IP-камер угрожает бот, вооруженный 30+ эксплойтами

Миллионам роутеров и IP-камер угрожает бот, вооруженный 30+ эксплойтами

Миллионам роутеров и IP-камер угрожает бот, вооруженный 30+ эксплойтами

Исследователи из Alien Labs компании AT&T выявили новую вредоносную программу, нацеленную на сетевые и IoT-устройства. Linux-зловред с кодовым именем BotenaGo ищет потенциально уязвимые мишени и пытается применить эксплойты, коих у него более трех десятков.

На момент анализа написанные на Go боты, по словам экспертов, плохо детектились антивирусами. По состоянию на 14 ноября их распознают половина защитных решений из коллекции VirusTotal (29/60), некоторые — с вердиктом Mirai, но DDoS-функциональности у новобранца не обнаружено.

После запуска BotenaGo включает счетчик заражений, чтобы информировать оператора об успехах.

 

После этого вредонос ищет папку dlrs для загрузки своих шелл-скриптов. Если эта папка не найдена, он прекращает свою работу. В противном случае происходит вызов функции scannerInitExploits, отвечающей за подготовку площади атаки — сопоставление эксплойтов с сигнатурами целевых систем.

 

Сама атака происходит следующим образом: BotenaGo отправляет простой запрос GET, ищет в ответе знакомую строку (сигнатуру) и, обнаружив совпадение, пускает в ход эксплойт.

Список уязвимостей, используемых зловредом (только те, что имеют CVE-идентификатор), в разделении по производителям устройств:

Поиск по Shodan строки Server: Boa/0.93.15, которая для бота является сигналом к атаке, показал около 2 млн потенциально уязвимых устройств. Результаты по строке Basic realm=\"Broadband Router\, на которую вредонос реагирует эксплойтом CVE-2020-10173 для Comtrend VR-3033, оказались скромнее, но тоже впечатляющими — 250 тыс. потенциальных мишеней.

Команды BotenaGo получает двумя способами: прослушивает порты 31412 и 19412 (на последнем получает IP-адрес цели) или использует терминал системы. Так, при работе зловреда локально в виртуальной машине оператор может подавать команды через Telnet.

После успешного эксплойта бот по идее должен продолжать атаку, используя присланную ссылку. Однако определить его дальнейшие действия не удалось: к моменту анализа вся полезная нагрузка уже была удалена с сервера BotenaGo.

Из-за отсутствия активной связи зловреда с C2-сервером исследователям осталось только гадать о причинах его появления в интернете. По мнению Alien Labs, варианты могут быть такими:

  1. BotenaGo является частью тулкита; в этом случае должен существовать другой модуль, передающий ему IP-адреса целей или обновляющий такую информацию на C2. 
  2. Ссылки на полезную нагрузку говорят о связи с Mirai; не исключено, что BotenaGo — новый инструмент, который операторы Mirai задействуют лишь на определенных устройствах в составе ботнета, отдавая команды вручную. 
  3. BotenaGo проходит бета-тестирование, и его код случайно слили в Сеть.

Как бы то ни было, зловред с таким богатым арсеналом составляет большую угрозу для многочисленных устройств, прошивки которых редко обновляются. Эксперты предупреждают, что число эксплойтов, которыми оперирует BotenaGo, может со временем возрасти.

Заметим, для Mirai-подобных ботнетов и аналогов использование большого количества эксплойтов для наращивания потенциала — не редкость. Достаточно вспомнить Satori, Hakai, Mozi и совсем недавний Gitpaste-12.

Ошибка в надбавке: мошенники разводят пенсионеров под видом Соцфонда

Мошенники придумали новую легенду для атак на пенсионеров. Теперь они звонят россиянам под видом сотрудников Социального фонда или банка и рассказывают о якобы технической ошибке при начислении июльских надбавок к пенсии.

Об этом РИА Новости сообщили в пресс-службе платформы «Мошеловка» Народного фронта.

Сценарий знакомый: человеку сообщают, что с выплатами возникла проблема, ссылаются на новые указы и требуют срочно всё подтвердить. Дальше аферисты просят назвать персональные данные, реквизиты банковской карты или коды из СМС.

Главная ставка здесь идёт на тревогу и спешку. Пенсионера пытаются убедить, что если он прямо сейчас не продиктует нужную информацию, деньги не начислят, надбавка пропадёт или выплату заблокируют. В общем, мошенники снова достают старый приём: сначала напугать, потом быстро вытащить данные.

В «Мошеловке» напоминают: настоящие сотрудники Социального фонда и банков не звонят гражданам с просьбой продиктовать коды из СМС, реквизиты карт или персональные данные для начисления выплат.

Если в разговоре появляется срочность, давление и просьба назвать код — это не забота о пенсии, а попытка залезть в кошелёк.

Эксперты советуют не принимать решения на эмоциях. Если звонок кажется подозрительным, лучше сразу прервать разговор и самостоятельно связаться с Социальным фондом или банком по официальным каналам. Потому что настоящая надбавка к пенсии не требует диктовать мошенникам ключи от своих денег.

RSS: Новости на портале Anti-Malware.ru