Ботнет BotenaGo

Новый ботнет под названием BotenaGo был обнаружен в дикой природе. Угроза способна заразить миллионы уязвимых устройств и маршрутизаторов IoT (Интернет вещей). Действительно, проанализировав образец угрозы, исследователи из AT&T обнаружили, что она может использовать более 33 уязвимостей, обнаруженных в маршрутизаторах, модемах и устройствах NAS. Некоторые из целевых машин включают маршрутизаторы D-link (через CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), маршрутизаторы на основе Realtek SDK (CVE-2019-19824), модемы ZTE (CVE-2014). -2321), устройства Netgear (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) и другие.

Как следует из названия, ботнет BotenaGo создан с использованием языка программирования Go. Go набирает популярность среди киберпреступников в течение последних нескольких лет, поскольку он предлагает кроссплатформенную функциональность, в то же время усложняя обнаружение угроз и их обратное проектирование.

Угрожающая функциональность

При развертывании на целевом устройстве вредоносная программа BotenaGo устанавливает процедуры прослушивания на двух определенных портах - 31412 и 194121. Угроза ожидает, пока злоумышленники не предоставят ей IP-адрес. После получения подходящего IP-адреса BotenaGo продолжит поиск уязвимостей, которые использует его эксплойт, в попытке получить доступ. После этого он выполнит несколько команд оболочки, чтобы добавить устройство в свой ботнет. Угроза получает полезную нагрузку, подходящую для целевого устройства, по нескольким различным каналам.

Еще не работает

Исследователям не удалось получить какие-либо полезные данные с хост-сервера, и они не обнаружили никакой связи между BotneaGo и его сервером Command-and-Control (C2, C&C). Данных для конкретного объяснения недостаточно, но у экспертов по информационной безопасности есть три возможных сценария:

1. Обнаруженный ботнет BotenaGo - лишь один из нескольких модулей, которые являются частью многоэтапной атаки вредоносного ПО.
2. Угрозой может быть новый инструмент, который используют операторы Mirai. Это предположение подтверждается несколькими ссылками, используемыми для доставки полезной нагрузки.
3. Отсутствие связи C2 может быть просто признаком того, что BotenaGo еще не готов к развертыванию, а образец, пойманный исследователями, был случайно выпущен в дикую природу.

Пользователи и компании должны принимать во внимание IoC (индикаторы взлома) угрозы и принимать достаточные меры противодействия.