Ботнет BotenaGo
Новый ботнет под названием BotenaGo был обнаружен в дикой природе. Угроза способна заразить миллионы уязвимых устройств и маршрутизаторов IoT (Интернет вещей). Действительно, проанализировав образец угрозы, исследователи из AT&T обнаружили, что она может использовать более 33 уязвимостей, обнаруженных в маршрутизаторах, модемах и устройствах NAS. Некоторые из целевых машин включают маршрутизаторы D-link (через CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), маршрутизаторы на основе Realtek SDK (CVE-2019-19824), модемы ZTE (CVE-2014). -2321), устройства Netgear (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) и другие.
Как следует из названия, ботнет BotenaGo создан с использованием языка программирования Go. Go набирает популярность среди киберпреступников в течение последних нескольких лет, поскольку он предлагает кроссплатформенную функциональность, в то же время усложняя обнаружение угроз и их обратное проектирование.
Угрожающая функциональность
При развертывании на целевом устройстве вредоносная программа BotenaGo устанавливает процедуры прослушивания на двух определенных портах - 31412 и 194121. Угроза ожидает, пока злоумышленники не предоставят ей IP-адрес. После получения подходящего IP-адреса BotenaGo продолжит поиск уязвимостей, которые использует его эксплойт, в попытке получить доступ. После этого он выполнит несколько команд оболочки, чтобы добавить устройство в свой ботнет. Угроза получает полезную нагрузку, подходящую для целевого устройства, по нескольким различным каналам.
Еще не работает
Исследователям не удалось получить какие-либо полезные данные с хост-сервера, и они не обнаружили никакой связи между BotneaGo и его сервером Command-and-Control (C2, C&C). Данных для конкретного объяснения недостаточно, но у экспертов по информационной безопасности есть три возможных сценария:
- Обнаруженный ботнет BotenaGo - лишь один из нескольких модулей, которые являются частью многоэтапной атаки вредоносного ПО.
- Угрозой может быть новый инструмент, который используют операторы Mirai. Это предположение подтверждается несколькими ссылками, используемыми для доставки полезной нагрузки.
- Отсутствие связи C2 может быть просто признаком того, что BotenaGo еще не готов к развертыванию, а образец, пойманный исследователями, был случайно выпущен в дикую природу.
Пользователи и компании должны принимать во внимание IoC (индикаторы взлома) угрозы и принимать достаточные меры противодействия.