Новый вариант Mirai использует три эксплоита

Два года назад некто под псевдонимом Anna Senpai опубликовал в открытом доступе исходный код печально известного вредоносного ПО Mirai для IoT-устройств, и с тех пор регулярно появляются его новые варианты. Эксперты компании Fortinet сообщили о появлении его очередного усовершенствованного варианта, использующего как минимум три новых эксплоита.

Новый вариант Mirai получил название WICKED по обнаруженным в ходе анализа строкам /bin/busybox WICKED и WICKED: applet not found. В отличие от оригинального Mirai, для взлома устройств WICKED не подбирает пароли, а использует доступные, уже давно известные эксплоиты.

Бот сканирует порты 8080, 8443, 80 и 81 путем отправки SYN-запросов. В случае удачного подключения WICKED пытается взломать устройство с помощью имеющихся у него эксплоитов и загрузить полезную нагрузку.

Выбор эксплоита зависит от порта, к которому подключился вредонос. При подключении к порту 8080 используется эксплоит для уязвимости в маршрутизаторах Netgear DGN1000 и DGN2200 v1. При наличии порта 81 бот эксплуатирует уязвимость в видеорегистраторах CCTV-DVR, позволяющую удаленно выполнить код. Для порта 8443 используется эксплоит для уязвимости CVE-2016-6277 в Netgear R7000 и R6400, позволяющей осуществить инъекцию команд. В случае подключения бота к порту 80 эксплуатируется не само устройство, а уже взломанный web-сервер, где заранее была установлена вредоносная web-оболочка.

После успешной эксплуатации уязвимости WICKED загружает на скомпрометированное устройство полезную нагрузку с сайта hxxp://185.246.152.173/exploit/owari. Судя по названию сайта, изначально бот загружал вредоносное ПО Owari (еще один вариант Mirai), однако позднее злоумышленники заменили его на Omni.