IoT-ботнет Mozi теперь атакует сетевые шлюзы Netgear, Huawei и ZTE

IoT-ботнет Mozi теперь атакует сетевые шлюзы Netgear, Huawei и ZTE

По словам экспертов, сетевые шлюзы представляют собой «лакомый кусочек» для хакеров.

image

Атакующий IoT-устройства P2P-ботнет Mozi получил новые функции, позволяющие ему сохранять персистентность в сетевых шлюзах производства Netgear, Huawei и ZTE.

Как сообщили специалисты Microsoft Security Threat Intelligence Center и Azure Defender Section 52, сетевые шлюзы представляют собой «лакомый кусочек» для злоумышленников, поскольку они «идеальны для первоначального доступа к корпоративным сетям».

«Заражая маршрутизаторы, они (хакеры – ред.) могут осуществлять атаки "человек посередине" (MITM) с помощью перехвата HTTP и спуфинга DNS с целью компрометации конечных точек и развертывания вымогательского ПО или для вызова нарушения безопасности на объектах ОТ», - сообщается в уведомлении специалистов.

Впервые задокументированный в декабре 2019 года компанией Netlab 360 ботнет Mozi традиционно заражает маршрутизаторы и цифровые видеорегистраторы и включает их в IoT-ботнет, который может использоваться для осуществления DDoS-атак, похищения данных и выполнения полезной нагрузки. Ботнет эволюционировал из исходного кода нескольких семейств вредоносного ПО, в частности Gafgyt, Mirai и IoT Reaper. Mozi распространяется путем подбора ненадежных или заводских паролей, а также путем эксплуатации неисправленных уязвимостей.

Как недавно обнаружили специалисты команды безопасности IoT-устройств компании Microsoft, вредоносное ПО «принимает особые меры для повышения своих шансов на то, чтобы «пережить» перезагрузку и попытки другого вредоносного ПО или ИБ-специалистов вмешаться в его операции». В частности, вредонос пытается получить персистентность на атакуемых устройствах и заблокировать TCP-порты (23, 2323, 7547, 35000, 50023 и 58000), использующиеся для получения удаленного доступа к шлюзам.

Более того, Mozi получил поддержку новых команд, позволяющих ему взламывать HTTP-сеансы и осуществлять спуфинг DNS для переадресации трафика на подконтрольный хакерам домен.

Домашним и бизнес-пользователям маршрутизаторов Netgear, Huawei и ZTE рекомендуется обезопасить свои устройства с помощью надежных паролей и обновлений прошивки до последних версий.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!