Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Trojans Trojan.SH.MIRAI.BOI

Trojan.SH.MIRAI.BOI

Med GoldSparrow i Trojans
Oversæt til:
Dansk

Trojan.SH.MIRAI.BOI er betegnelsen tildelt en brugerdefineret Mirai botnet downloader. Lige siden Mirai botnets kode blev frigivet til offentligheden i 2016, har internetkriminelle haft chancen for simpelthen at tage den og tilføje deres egne ændringer, der passer bedre til deres dagsorden. Trojan.SH.MIRAI.BOI er designet til at angribe IoT-enheder (Internet of Things) ved at scanne efter eksponerede Big-IP-kasser, misbruge flere sårbarheder og anvende en truende nyttelast. Sårbarheden, som Trojan.SH.MIRAI.BOI primært fokuserer på, er CVE-2020-5902. Kernen består af denne fejl af RCE-sårbarhed (Remote Code Execution), der kan påvirke Traffic Management User Interface (TMUI) på Big-IP-enheder. Udnyttelsen truer ekstremt, da den giver hackerne mulighed for at udføre vilkårlige kommandoer på den inficerede enhed ved blot at sende en GET-anmodning med en 'kommandoparameter' til 'tmshCmd.jsp.'

Infosec-forskere opdagede to IP-adresser som en del af truslerne. Den første på txxp: //79.124.8.24/bins/ fungerer som en infiltrationsvektor, mens hxxp: //78.142.18.20 er Command-and-Control (C2, C&C) serveren. Værtsserveren indeholdt flere filer ved navn SORA, en anden variant baseret på Mirai Botnet, der specialiserede sig i brute-force angreb, udnyttelse af RCE-sårbarheder og en shell-scriptfil med navnet 'fetch.sh.' Shell-scriptet er ansvarligt for at kontakte C&C-serveren og levere den relevante applikationsnyttelast. Det opretter også den automatiserede udførelse af de beskadigede binære filer. Desuden opretter scriptet via iptables-værktøjet alle pakker, der sendes til almindeligt anvendte TCP-porte, såsom dem til Telnet, enhedens webpanel (HTTP) og Secure Shell (SSH), der skal droppes. Det mulige mål er enten at forhindre anden malware i at inficere den allerede kompromitterede enhed eller låse brugerne i at få adgang til enhedens administrationsgrænseflade.

Bortset fra CVE-2020-5902-sårbarheden udnytter Trojan.SH.MIRAI.BOI yderligere ni sårbarheder, hvoraf tre ikke havde en CVE-identifikation, da truslen blev opdaget.

Trending

Mest sete

Indlæser...