BotenaGo ботнет

BotenaGo ботнет Описание

Нов ботнет на име BotenaGo е идентифициран в дивата природа. Заплахата има капацитета да зарази милиони уязвими IoT (Интернет на нещата) устройства и рутери. Всъщност, след като анализираха извадка от заплахата, изследователите от AT&T откриха, че тя може да използва над 33 уязвимости, открити в рутери, модеми и NAS устройства. Някои от целевите машини включват D-link рутери (чрез CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), рутери, базирани на Realtek SDK (CVE-2019-19824), ZTE модеми (CVE-2014 -2321), устройства Netgear (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) и др.

Както може да подсказва името му, ботнетът BotenaGo е създаден с помощта на езика за програмиране Go. Go набира популярност сред киберпрестъпниците през последните няколко години, тъй като предлага междуплатформена функционалност, като същевременно прави заплахите по-трудни за откриване и обратно инженерство.

Застрашаваща функционалност

Когато се разположи на целевото устройство, зловредният софтуер BotenaGo ще установи рутинни процедури за слушане на два конкретни порта - 31412 и 194121. Заплахата чака IP адрес, който да му бъде предоставен от нападателите. След като получи подходящ IP адрес, BotenaGo ще продължи да преминава през уязвимостите, които използва в опит да получи достъп. След това той ще изпълни няколко команди на обвивката, за да добави устройството към неговия ботнет. Заплахата извлича полезен товар, подходящ за целевото устройство чрез няколко различни връзки.

Все още не е в експлоатация

Изследователите не успяха да получат никакви полезни товари от хостинг сървъра и не откриха никаква комуникация между BotneaGo и неговия сървър за командване и управление (C2, C&C). Няма достатъчно данни за конкретно обяснение, но експертите от Infosec имат три потенциални сценария:

  1. Намереният ботнет BotenaGo е само един от няколко модула, които са част от многоетапна атака на зловреден софтуер.
  2. Заплахата може да е нов инструмент, който се използва от операторите на Mirai. Тази хипотеза се подкрепя от няколко връзки, използвани за доставяне на полезни товари.
  3. Липсата на C2 комуникация може просто да е знак, че BotenaGo все още не е готов за внедряване и пробата, уловена от изследователите, е пусната в дивата природа случайно.

Потребителите и компаниите трябва да вземат предвид IoC на заплахата (индикатори за компромис) и да прилагат достатъчни контрамерки.