Новый ботнет Gitpaste-12 эксплуатирует 11 уязвимостей для компрометации систем

Исследователи безопасности из Juniper Threat Labs обнаружили новый ботнет, получивший название Gitpaste-12. Вредонос использует платформы GitHub и Pastebin для размещения кода компонентов и использует 12 разных способов для компрометации систем.

Эксперты зафиксировали первые атаки Gitpaste-12 15 октября 2020 года, однако на платформе GitHub сам вредонос был обнаружен еще 9 июля. Операторы Gitpaste-12 в основном атакуют серверы x86 на базе Linux и IoT-устройства на базе процессоров Linux ARM и MIPS.

На первом этапе атаки Gitpaste-12 пытается использовать известные эксплоиты для взлома систем и может попытаться осуществить брутфорс-атаку. После взлома вредоносная программа загружает скрипт из Pastebin, который повторно запускается каждую минуту. Как предполагают эксперты, таким образом и обновляется ботнет.

Основной скрипт оболочки, загруженный на устройство жертвы во время атаки, начинает загружать и выполнять компоненты с GitHub. После этого вредоносная программа подготавливает целевую среду, устраняя системные средства защиты, такие как правила межсетевого экрана и стандартное программное обеспечение для предотвращения и мониторинга киберугроз. Исследователи обнаружили скрипт, содержащий комментарии на китайском языке и команды для отключения некоторых инструментов безопасности. В одном из случаев команды отключали агенты облачной безопасности, указывая на намерения киберпреступников атаковать инфраструктуру общедоступного облака, предоставляемую Alibaba Cloud и Tencent.

Gitpaste-12 также имеет возможности для майнинга криптовалюты Monero, а для распространения на другие устройства использует 11 уязвимостей и брутфорс-атаки на telnet-протокол. В числе эксплуатируемых уязвимости в маршрутизаторах Asus ( CVE-2013-5948 ), маршрутизаторах Netlink GPON (EDB-ID: 48225), IP-камерах AVTECH (EDB-ID: 40500), маршрутизаторах Huawei (CVE-2017-17215), фреймворке Apache Struts ( CVE-2017-5638 ), СУБД Mongo DB (CVE-2019-10758), Realtek SDK ( CVE-2014-8361 ) и пр.

Исследователи сообщили администраторам сервисов о URL-адресе на Pastebin и репозитории git, и те были отключены 30 октября 2020 года. Хотя данные действия и должны остановить распространение ботнета, его операторы могут использовать другой хостинг или создать другую учетную запись на GitHub или Pastebin.