BotenaGo Botnet
تم التعرف على روبوتات جديدة تسمى BotenaGo في البرية. التهديد لديه القدرة على إصابة الملايين من أجهزة وأجهزة توجيه إنترنت الأشياء (إنترنت الأشياء) الضعيفة. في الواقع ، بعد تحليل عينة من التهديد ، اكتشف الباحثون في AT&T أنه يمكن استغلال أكثر من 33 نقطة ضعف موجودة في أجهزة التوجيه وأجهزة المودم وأجهزة NAS. تتضمن بعض الأجهزة المستهدفة أجهزة توجيه D-link (عبر CVE-2015-2051 و CVE-2020-9377 و CVE-2016-11021) وأجهزة التوجيه المستندة إلى Realtek SDK (CVE-2019-19824) وأجهزة المودم ZTE (CVE-2014) -2321) وأجهزة Netgear (CVE-2016-1555 و CVE-2017-6077 و CVE-2016-6277 و CVE-2017-63340) والمزيد.
كما يوحي اسمها ، يتم إنشاء BotenaGo botnet باستخدام لغة البرمجة Go. اكتسب Go شعبية بين مجرمي الإنترنت على مدار السنوات العديدة الماضية لأنه يوفر وظائف عبر الأنظمة الأساسية بينما يجعل من الصعب اكتشاف التهديدات وعكس هندستها.
تهديد الوظيفة
عند نشره على الجهاز المستهدف ، فإن برنامج BotenaGo الضار سيؤسس إجراءات استماع على منفذين محددين - 31412 و 194121. التهديد ينتظر عنوان IP ليتم توفيره له من قبل المهاجمين. عند تلقي عنوان IP مناسب ، ستواصل BotenaGo استكشاف الثغرات الأمنية التي تستغلها في محاولة للوصول إليها. بعد ذلك ، سيتم تشغيل عدة أوامر shell لإضافة الجهاز إلى الروبوتات الخاصة به. يجلب التهديد حمولة مناسبة للجهاز المستهدف من خلال عدة روابط مختلفة.
غير جاهز للعمل بعد
لم يتمكن الباحثون من الحصول على أي حمولات من خادم الاستضافة ولم يكتشفوا أي اتصال بين BotneaGo وخادم القيادة والتحكم (C2، C&C) الخاص بها. لا توجد بيانات كافية لتفسير ملموس ولكن خبراء أمن المعلومات لديهم ثلاثة سيناريوهات محتملة:
- إن BotenaGo التي تم العثور عليها هي مجرد واحدة من عدة وحدات تشكل جزءًا من هجوم متعدد المراحل من البرامج الضارة.
- قد يكون التهديد أداة جديدة يستخدمها مشغلو ميراي. هذا التخمين مدعوم من قبل العديد من الروابط المستخدمة لتسليم الحمولات.
- قد يكون الافتقار إلى اتصال C2 مجرد علامة على أن BotenaGo ليس جاهزًا بعد للنشر وأن العينة التي تم التقاطها بواسطة الباحثين تم إطلاقها في البرية عن طريق الخطأ.
يجب على المستخدمين والشركات الانتباه إلى IoCs للتهديد (مؤشرات التسوية) وتنفيذ تدابير مضادة كافية.
