Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Trojans Trojan.SH.MIRAI.BOI

Trojan.SH.MIRAI.BOI

Por GoldSparrow em Trojans
Traduzir Para:
Português

O Trojan.SH.MIRAI.BOI é a designação atribuída a um downloader personalizado do botnet Mirai. Desde que o código do botnet Mirai foi lançado ao público em 2016, os cibercriminosos tiveram a chance de simplesmente pegá-lo e adicionar suas próprias modificações para adequa-lo melhor à sua agenda. O Trojan.SH.MIRAI.BOI foi projetado para atacar os dispositivos da Internet das Coisas (IoT), procurando por caixas Big-IP expostas, abusando de várias vulnerabilidades e implantando uma carga útil ameaçadora. A vulnerabilidade na qual o Trojan.SH.MIRAI.BOI se concentra principalmente é a CVE-2020-5902. Em sua essência, esse bug consiste na vulnerabilidade de execução remota de código (RCE) que pode impactar a Interface do usuário de gerenciamento de tráfego (TMUI) de dispositivos Big-IP. O exploit é extremamente ameaçador, pois permite que os hackers executem comandos arbitrários no dispositivo infectado, simplesmente enviando uma solicitação GET com um parâmetro 'command' para 'tmshCmd.jsp.'

Os pesquisadores da Infosec detectaram dois endereços IP como parte das operações de ameaças. O primeiro em txxp://79.124.8.24/bins/ atua como um vetor de infiltração, enquanto hxxp://78.142.18.20 é o servidor Command-and-Control (C2, C&C). O servidor host continha vários arquivos chamados SORA, outra variante baseada no Mirai Botnet especializada em ataques de força bruta, exploração de vulnerabilidades RCE e um arquivo de script de shell chamado 'fetch.sh'. O script de shell é responsável por entrar em contato com o servidor C&C e entregar a carga útil de aplicativos apropriada. Também configura a execução automatizada dos arquivos binários corrompidos. Além disso, por meio da ferramenta iptables, o script configura qualquer pacote enviado para portas TCP comumente usadas, como aquelas para Telnet, o painel da web do dispositivo (HTTP) e Secure Shell (SSH) para serem descartados. O possível objetivo é evitar que qualquer outro malware infecte o dispositivo já comprometido ou bloquear o acesso dos usuários à interface de gerenciamento do dispositivo.

Além da vulnerabilidade CVE-2020-5902, o Trojan.SH.MIRAI.BOI explora outras nove vulnerabilidades, três das quais não tinham uma identificação CVE quando a ameaça foi detectada.

Tendendo

Mais visto

Carregando...