Создатель Satori использует уязвимость в D-Link для организации нового ботнета

Blue Sunset

Профессионал
Ветеран пробива
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐
ЗАБАНЕН
Private Club
Регистрация
27/11/16
Сообщения
4.409
Репутация
19.455
Реакции
22.575
RUB
0
Сделок через гаранта
92
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Исследователи обнаружили два новых варианта Mirai - Masuta и PureMasuta.


Разработчик вредоносного ПО Satori (также известного как Mirai Okiru) и создатель одноименного ботнета вновь принялся за дело, в этот раз атакуя маршрутизаторы D-Link с целью организации новой сети ботов. Исследователи из компании NewSky Security обнаружили два новых варианта Mirai - Masuta и PureMasuta, автором которых, по всей видимости, является создатель Satori.

В минувшем месяце экспертам в области кибербезопасности удалось идентифицировать организатора атак на маршрутизаторы Huawei, в ходе которых для установки Satori эксплуатировалась уязвимость CVE-2017-17215, связанная с некорректной реализацией в устройствах Huawei HG532 протокола TR-064, применяемого для автоматизации настройки оборудования. Им оказался некто под псевдонимом Nexus Zeta. Тогда Nexus Zeta посчитали хакером-новичком, но судя по разработанным им новым версиям вредоносов, злоумышленник существенно усовершенствовал свои навыки.

Первый вариант, Masuta, опирается на стандартный поиск IoT-устройств с учетными данными по умолчанию. Второй вариант, названный PureMasuta, более интересен, так как эксплуатирует старую уязвимость в протоколе администрирования домашней сети D-Link (Home Network Administration Protocol, HNAP), обнаруженную в 2015 году.

По словам экспертов, используемая вредоносом уязвимость позволяет обойти проверку подлинности с помощью специально сформированного SOAP-запроса - hxxp://purenetworks.com/HNAP1/GetDeviceSettings. Кроме того, из-за некорректной обработки строк возможно выполнение системных команд (приводящих к произвольному выполнению кода). Таким образом злоумышленники может сформировать SOAP-запрос для обхода авторизации и выполнения произвольного кода.

В начале января после некоторого затишья ботнет Satori возобновил активность и был замечен в атаках на оборудование для майнинга криптовалюты с установленным ПО Claymore. Новый вариант вредоноса заменяет пул и адрес кошелька владельца на адрес и пул злоумышленников.

HNAP – сетевой протокол, разработанный компанией Pure Networks, позже права на него приобрела Cisco Systems. HNAP основан на протоколе Simple Object Access Protocol (SOAP) и используется для администрирования сетевых устройств.
 
Сверху Снизу