Операторы ботнета BotenaGo используют 33 эксплоита в новой вредоносной кампании

Пт 12 Ноябрь 2021 11:57

Операторы нового ботнета под названием BotenaGo используют более тридцати эксплоитов в ходе вредоносной кампании, нацеленной на маршрутизаторы и IoT-устройства.

BotenaGo включает 33 эксплоита для различных маршрутизаторов, модемов и NAS-устройств, некоторые примечательные примеры приведены ниже:

CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: маршрутизаторы D-Link;

CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: устройства Netgear;

CVE-2019-19824: маршрутизаторы на основе Realtek SDK;

CVE-2017-18368, CVE-2020-9054: маршрутизаторы Zyxel и устройства NAS;

CVE-2020-10987: продукты Tenda;

CVE-2014-2321: модемы ZTE;

CVE-2020-8958: Guangzhou 1GE ONU.

После установки вредоносная программа будет сканировать два порта (31412 и 19412) в ожидании отправки на них IP-адреса. Как только IP-адрес будет получен, бот будет использовать каждую уязвимость на этом IP-адресе для получения доступа. Как только BotenaGo получит доступ, он выполнит удаленные shell-команды для подключения устройства к сети ботнета.

В зависимости от типа устройства вредоносная программа использует разные ссылки для получения соответствующей полезной нагрузки. Кроме того, исследователи не обнаружили активной связи между BotenaGo и C&C-сервером злоумышленников.

Как предполагают эксперты из AT&T, BotenaGo является только частью многоэтапной модульной атаки вредоносного ПО и не отвечает за обработку сообщений. Также BotenaGo может быть новым инструментом, используемым операторами Mirai на определенных устройствах и ходе некоторых атак. Третья теория подразумевает, что вредоносная программа еще не готова к работе, а образец ее ранней стадии разработки случайно оказался в Сети.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 250 дней 3 часа 28 минут 42 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.