Threat Database Trojans Trojan.SH.MIRAI.BOI

Trojan.SH.MIRAI.BOI

Trojan.SH.MIRAI.BOI è la designazione assegnata a un downloader di botnet Mirai personalizzato. Da quando il codice della botnet Mirai è stato rilasciato al pubblico nel 2016, i criminali informatici hanno avuto la possibilità di prenderlo semplicemente e aggiungere le proprie modifiche per adattarsi meglio alla loro agenda. Il Trojan.SH.MIRAI.BOI è progettato per attaccare i dispositivi Internet of Things (IoT) scansionando i box Big-IP esposti, abusando di diverse vulnerabilità e implementando un carico utile minaccioso. La vulnerabilità su cui si concentra principalmente Trojan.SH.MIRAI.BOI è CVE-2020-5902. Fondamentalmente, questo bug è costituito dalla vulnerabilità RCE (Remote Code Execution) che può influire sull'interfaccia utente di gestione del traffico (TMUI) dei dispositivi Big-IP. L'exploit è estremamente minaccioso, in quanto consente agli hacker di eseguire comandi arbitrari sul dispositivo infetto semplicemente inviando una richiesta GET con un parametro "comando" a "tmshCmd.jsp".

I ricercatori di Infosec hanno rilevato due indirizzi IP come parte delle operazioni sulle minacce. Il primo su txxp: //79.124.8.24/bins/ funge da vettore di infiltrazione, mentre hxxp: //78.142.18.20 è il server Command-and-Control (C2, C&C). Il server host conteneva più file denominati SORA, un'altra variante basata sulla Botnet Mirai specializzata in attacchi di forza bruta, sfruttamento delle vulnerabilità RCE e un file script di shell denominato "fetch.sh". Lo script della shell è responsabile di contattare il server C&C e di fornire il payload delle applicazioni appropriato. Inoltre imposta l'esecuzione automatica dei file binari danneggiati. Inoltre, tramite lo strumento iptables, lo script imposta tutti i pacchetti inviati alle porte TCP di uso comune come quelli per Telnet, il pannello web del dispositivo (HTTP) e Secure Shell (SSH) da eliminare. Il possibile obiettivo è impedire a qualsiasi altro malware di infettare il dispositivo già compromesso o impedire agli utenti di accedere all'interfaccia di gestione del dispositivo.

Oltre alla vulnerabilità CVE-2020-5902, Trojan.SH.MIRAI.BOI sfrutta altre nove vulnerabilità, tre delle quali non avevano un'identificazione CVE quando la minaccia è stata rilevata.

Tendenza

I più visti

Caricamento in corso...