BotenaGo Botnet

BotenaGo Botnet

Ett nytt botnät vid namn BotenaGo har identifierats i naturen. Hotet har kapacitet att infektera miljontals sårbara IoT (Internet of Things) enheter och routrar. Efter att ha analyserat ett urval av hotet upptäckte forskarna vid AT&T att det kunde utnyttja över 33 sårbarheter som finns i routrar, modem och NAS-enheter. Några av de riktade maskinerna inkluderar D-länk-routrar (via CVE-2015-2051, CVE-2020-9377, CVE-2016-11021), Realtek SDK-baserade routrar (CVE-2019-19824), ZTE-modem (CVE-2014) -2321), Netgear-enheter (CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-63340) och mer.

Som namnet antyder skapas BotenaGo-botnätet med hjälp av programmeringsspråket Go. Go har vunnit popularitet bland cyberbrottslingar under de senaste åren eftersom det erbjuder plattformsoberoende funktionalitet samtidigt som det gör hoten både svårare att upptäcka och att bakåtkonstruera.

Hotande funktionalitet

När den distribueras på den riktade enheten, kommer BotenaGo malware att etablera lyssningsrutiner på två specifika portar - 31412 och 194121. Hotet väntar på att en IP-adress ska tillhandahållas av angriparna. Efter att ha mottagit en lämplig IP kommer BotenaGo att fortsätta att köra igenom sårbarheterna som dess utnyttjande i ett försök att få åtkomst till. Efteråt kommer den att köra flera skalkommandon för att lägga till enheten till sitt botnät. Hotet hämtar en nyttolast som är lämplig för den riktade enheten via flera olika länkar.

Inte i drift ännu

Forskarna kunde inte få några nyttolaster från värdservern och de upptäckte ingen kommunikation mellan BotneaGo och dess Command-and-Control-server (C2, C&C). Det finns inte tillräckligt med data för en konkret förklaring men infosec-experter har tre potentiella scenarier:

  1. Det hittade BotenaGo-botnätet är bara en av flera moduler som är en del av en skadlig attack i flera steg.
  2. Hotet kan vara ett nytt verktyg som används av Mirai- operatörer. Denna gissning stöds av flera länkar som används för att leverera nyttolaster.
  3. Bristen på C2-kommunikation kan helt enkelt vara ett tecken på att BotenaGo ännu inte är redo för utplacering och att provet som forskarna fångade släpptes i naturen av misstag.

Användare och företag bör notera hotets IoCs (Indicators of Compromise) och vidta tillräckliga motåtgärder.

Trending

Loading...