Создатель Satori использует уязвимость в D-Link для организации нового ботнета

image

Теги: Satori, Mirai, Masuta, PureMasuta, D-Link, ботнет

Исследователи обнаружили два новых варианта Mirai - Masuta и PureMasuta.

Разработчик вредоносного ПО Satori (также известного как Mirai Okiru) и создатель одноименного ботнета вновь принялся за дело, в этот раз атакуя маршрутизаторы D-Link с целью организации новой сети ботов. Исследователи из компании NewSky Security обнаружили два новых варианта Mirai - Masuta и PureMasuta, автором которых, по всей видимости, является создатель Satori.

В минувшем месяце экспертам в области кибербезопасности удалось идентифицировать организатора атак на маршрутизаторы Huawei, в ходе которых для установки Satori эксплуатировалась уязвимость CVE-2017-17215, связанная с некорректной реализацией в устройствах Huawei HG532 протокола TR-064, применяемого для автоматизации настройки оборудования. Им оказался некто под псевдонимом Nexus Zeta. Тогда Nexus Zeta посчитали хакером-новичком, но судя по разработанным им новым версиям вредоносов, злоумышленник существенно усовершенствовал свои навыки.

Первый вариант, Masuta, опирается на стандартный поиск IoT-устройств с учетными данными по умолчанию. Второй вариант, названный PureMasuta, более интересен, так как эксплуатирует старую уязвимость в протоколе администрирования домашней сети D-Link (Home Network Administration Protocol, HNAP), обнаруженную в 2015 году.

По словам экспертов, используемая вредоносом уязвимость позволяет обойти проверку подлинности с помощью специально сформированного SOAP-запроса - hxxp://purenetworks.com/HNAP1/GetDeviceSettings. Кроме того, из-за некорректной обработки строк возможно выполнение системных команд (приводящих к произвольному выполнению кода). Таким образом злоумышленники может сформировать SOAP-запрос для обхода авторизации и выполнения произвольного кода.

В начале января после некоторого затишья ботнет Satori возобновил активность и был замечен в атаках на оборудование для майнинга криптовалюты с установленным ПО Claymore. Новый вариант вредоноса заменяет пул и адрес кошелька владельца на адрес и пул злоумышленников.

HNAP – сетевой протокол, разработанный компанией Pure Networks, позже права на него приобрела Cisco Systems. HNAP основан на протоколе Simple Object Access Protocol (SOAP) и используется для администрирования сетевых устройств.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus