Из-за одной строки Python – десятки тысяч устройств в ботнете

Критическая уязвимость в сервере Wazuh, устранённая ещё в феврале, активно используется для развёртывания ботнетов на базе Mirai, цель которых — проведение DDoS-атак. О начале эксплуатации уязвимости сообщили специалисты Akamai, зафиксировавшие первую волну атак в марте 2025 года, всего через несколько недель после публикации эксплойта и выпуска версии 4.9.1 , устраняющей проблему.

Уязвимость CVE-2025-24016 (оценка CVSS: 9.9) затрагивает все версии Wazuh начиная с 4.4.0. Проблема заключается в опасной десериализации данных в API сервера, где параметры DistributedAPI преобразуются в объекты Python через функцию as_wazuh_object. Злоумышленник может передать вредоносный JSON, чтобы добиться удалённого исполнения произвольного кода.

По данным Akamai, эксплойт используется как минимум двумя независимыми ботнетами, каждый из которых применяет свои варианты Mirai. Первая зафиксированная кампания разворачивает скрипт, который загружает ботнет с внешнего сервера по адресу 176.65.134[.]62. Этот узел распространяет вредоносные сборки Mirai под архитектуры ARM, MIPS и другие. Образцы соответствуют семейству LZRD , известному с 2023 года. Отдельно отмечается, что те же версии ботнета использовались и при атаках на устаревшие устройства видеонаблюдения GeoVision, однако прямых связей между этими кампаниями не установлено.

Дополнительный анализ инфраструктуры того же сервера выявил и другие модификации Mirai, в том числе под именами «neon», «vision», а также усовершенствованную версию V3G4. Кроме Wazuh, ботнет эксплуатирует и другие известные уязвимости — в частности, уязвимость в TP-Link Archer AX21 ( CVE-2023-1389 ), компоненте Hadoop YARN и маршрутизаторе ZTE ZXV10 H108L.

Вторая волна атак, также использующая уязвимость CVE-2025-24016, развёртывает другой ботнет — Resbot, известный также под именем Resentual. Он использует аналогичный механизм доставки: запуск шелл-скрипта, скачивание вредоносного исполняемого файла и его активация. Особенность Resbot — характерная языковая разметка инфраструктуры: домены с итальянскими названиями. По мнению аналитиков, это может говорить о нацеленности на устройства, эксплуатируемые италоговорящими пользователями.

Этот ботнет активно сканирует порты 21 (FTP) и Telnet, и также использует многочисленные уязвимости в устройствах интернета вещей. В перечень эксплуатируемых векторов входят старые уязвимости в Huawei HG532 ( CVE-2017-17215 ), Realtek SDK ( CVE-2014-8361 ) и маршрутизаторе TrueOnline ZyXEL P660HN-T v1 ( CVE-2017-18368 ).

Специалисты подчёркивают, что исходный код Mirai остаётся одним из самых часто используемых в ботнет-индустрии. Он легко модифицируется, и с каждым новым опубликованным эксплойтом появляются новые волны заражений. Последние атаки также задействовали уязвимость CVE-2024-3721 — уязвимость инъекции команд в регистраторах TBK DVR-4104 и DVR-4216. Через неё злоумышленники запускают скрипт, загружающий ботнет с сервера 42.112.26[.]36. До активации выполняется проверка на запуск в виртуальной среде или через QEMU.

Наибольшее число заражений зафиксировано в Китае, Индии, Египте, Турции, Украине и Бразилии. В сети обнаружено более 50 000 доступных DVR-устройств, которые могут быть взяты под контроль.

Масштабы атак подтверждаются и данными StormWall: в первом квартале 2025 года наибольшую активность ботнетов зафиксировали в Азиатско-Тихоокеанском регионе — в Китае, Индии, Тайване, Сингапуре, Японии, Малайзии, Гонконге, Индонезии, Южной Корее и Бангладеш. Особую тревогу вызывают новые тактики: API-флуды и carpet bombing развиваются быстрее традиционных атак через TCP и UDP, что вынуждает компании пересматривать подходы к защите.

Параллельно ФБР выпустило предупреждение о новой итерации ботнета BADBOX 2.0 , в состав которого входит множество устройств с предустановленным вредоносным ПО, производимых преимущественно в Китае. Эти устройства используются как прокси-узлы в преступной инфраструктуре. По данным ведомства, устройства заражаются либо ещё до покупки, либо сразу после — при установке приложений, в которые встроены бэкдоры.