Threat Database Botnets Ботнет Dark Mirai

Ботнет Dark Mirai

Несмотря на то, что ботнет Mirai был закрыт много лет назад, его наследие продолжает жить. После выпуска исходного кода ботнета многие киберпреступники использовали его как основу для создания собственных версий вредоносного ПО. Одно из ответвлений Mirai , которое все еще активно, отслеживается сообществом информационных технологий как Dark Mirai (также известное как MANGA). И, по словам исследователей Fortinet, которые следят за деятельностью этого ботнета, его операторы продолжают оснащать его новыми уязвимостями для использования.

Один из последних, добавленных к Dark Mirai, касается линейки популярных домашних маршрутизаторов TP-Link. В частности, затронута модель TL-WR840N EU V5, выпущенная в 2017 году. Конкретная уязвимость - CVE-2021-41653 позволяет аутентифицированному пользователю выполнять команды на устройстве из-за уязвимой переменной host. Следует отметить, что TP-Link решила проблему, выпустив обновление прошивки 12 ноября 2021 года, поэтому хакеры Dark Mirai рассчитывают, что пользователи не обновят свои устройства и останутся уязвимыми.

Обнаружив подходящее устройство, злоумышленники воспользуются уязвимостью CVE-2021-41653 для загрузки и последующего выполнения сценария с именем tshit.sh. Затем этот сценарий отвечает за выборку основных полезных данных с помощью двух запросов. Из-за того, что злоумышленникам необходимо пройти аутентификацию, пользователи, которые все еще используют учетные данные по умолчанию для своего маршрутизатора, с наибольшей вероятностью будут скомпрометированы.

При развертывании Dark Mirai идентифицирует архитектуру зараженного маршрутизатора и затем переходит к получению соответствующей полезной нагрузки. Затем угроза изолирует устройство от потенциального проникновения со стороны других конкурирующих ботнетов, отключив несколько часто используемых портов. Затем Dark Mirai будет бездействовать, ожидая команд от своего сервера Command-and-Control (C&C).

В тренде

Наиболее просматриваемые

Загрузка...