Ботнет, который исследователи отслеживают под идентификатором IZ1H9, недавно обзавелся тринадцатью новыми эксплоитами для атак на Linux-маршрутизаторы, а также устройства D-Link, Zyxel, TP-Link, TOTOLINK и других производителей.
Этот вариант Mirai был впервые обнаружен в августе 2018 года и является одним из наиболее активных: он эксплуатирует неисправленные уязвимости в IoT-устройствах, чтобы заразить их и использовать для организации DDoS-атак.
Как сообщают специалисты Fortinet, пик атак IZ1H9 пришелся на первую неделю сентября, когда количество попыток взлома уязвимых устройств достигло десятков тысяч.
Исследователи перечисляют, что суммарно ботнет IZ1H9 использует в своих атаках более 30 эксплоитов для следующих уязвимостей, датированных 2015-2013 годами:
После использования одной из перечисленных уязвимостей на устройство доставляется полезная нагрузка IZ1H9, которая содержит команду для получения загрузчика шелл-скрипта l.sh с определенного URL-адреса. При выполнении этот скрипт удаляет логи, чтобы скрыть вредоносную активность, а затем извлекает бот-клиентов, адаптированных для различных архитектур.
После этого скрипт изменяет iptables зараженного девайса, чтобы затруднить подключение к определенным портам, а также затруднить удаление малвари с устройства. Затем вредонос устанавливает связь со своим управляющим сервером и ждет новых команд, среди которых числятся DDoS-атаки посредством UDP, UDP Plain, HTTP-флуда и TCP SYN.
Также Fortinet предупреждает, что IZ1H9 имеет список жестко закодированных учтенных данных, по которому осуществляет брутфорс-атаки. Этот способ применяется для распространения угрозы на соседние устройства или аутентификации на IoT-устройствах, для которых у малвари нет работающего эксплоита.
Этот вариант Mirai был впервые обнаружен в августе 2018 года и является одним из наиболее активных: он эксплуатирует неисправленные уязвимости в IoT-устройствах, чтобы заразить их и использовать для организации DDoS-атак.
Как сообщают специалисты Fortinet, пик атак IZ1H9 пришелся на первую неделю сентября, когда количество попыток взлома уязвимых устройств достигло десятков тысяч.
Исследователи перечисляют, что суммарно ботнет IZ1H9 использует в своих атаках более 30 эксплоитов для следующих уязвимостей, датированных 2015-2013 годами:
После использования одной из перечисленных уязвимостей на устройство доставляется полезная нагрузка IZ1H9, которая содержит команду для получения загрузчика шелл-скрипта l.sh с определенного URL-адреса. При выполнении этот скрипт удаляет логи, чтобы скрыть вредоносную активность, а затем извлекает бот-клиентов, адаптированных для различных архитектур.
После этого скрипт изменяет iptables зараженного девайса, чтобы затруднить подключение к определенным портам, а также затруднить удаление малвари с устройства. Затем вредонос устанавливает связь со своим управляющим сервером и ждет новых команд, среди которых числятся DDoS-атаки посредством UDP, UDP Plain, HTTP-флуда и TCP SYN.
Также Fortinet предупреждает, что IZ1H9 имеет список жестко закодированных учтенных данных, по которому осуществляет брутфорс-атаки. Этот способ применяется для распространения угрозы на соседние устройства или аутентификации на IoT-устройствах, для которых у малвари нет работающего эксплоита.
