СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.12.2025
#ИБ

Broadside: Mirai-штамм через CVE-2024-3721 угрожает морской логистике

Исследовательская группа Cydome обнаружила новый активный вариант ботнета Mirai под именем Broadside, который специально нацелен на сектор морской логистики. Атаки используют критическую уязвимость CVE-2024-3721 в устройствах TBK DVR, применяемых на судах, что создает риск как для сетевой доступности, так и для безопасности людей, эксплуатирующих пострадавшие видеорегистраторы.

Кратко о сути угрозы

  • Источник обнаружения: исследовательская группа Cydome;
  • Цель: видеорегистраторы TBK DVR, используемые в морской логистике;
  • Уязвимость: CVE-2024-3721 — удалённая инъекция команд через HTTP POST;
  • Модель поведения: типичные схемы Mirai с добавлением сложных тактик уклонения и закрепления;
  • Основной вектор воздействия: UDP flooding для организации DDoS-атак;
  • Командная инфраструктура: нестандартные порты, в частности TCP/1026 (основной) и TCP/6969 (резервный).

Как происходит заражение

Первоначальный доступ достигается посредством удалённого выполнения команд через уязвимую HTTP POST конечную точку TBK DVR. После успешной эксплуатации Broadside внедряет полезную нагрузку и действует по типичной для Mirai логике: сканирование, распространение и подготовка к DDoS-кампаниям. Однако Broadside также использует дополнительные приёмы, направленные на сокрытие и устойчивость в среде заражения.

Технические особенности и тактики уклонения

  • Polymorphism — базовый полиморфизм для усложнения сигнатурного обнаружения;
  • Мониторинг процессов через netlink и удаление конкурирующих процессов, что обеспечивает закрепление и доминирование в устройстве;
  • Установка ограничения на файловые дескрипторы (ulimit -n 1024) — оптимизация производительности при высокой сетевой нагрузке;
  • Принцип «неразборчивой» архитектуры: попытки загрузить двоичные файлы для разных CPU без проверки совместимости, что указывает на массовый охват различных платформ;
  • Процедура самоочистки — удаление бинарников после запуска для сокрытия следов заражения;
  • Попытки повышения привилегий и сбор локальных учетных данных через доступ к файлам /etc/passwd и /etc/shadow.

Инфраструктура управления и индикаторы компрометации (IoC)

Cydome указывает на наличие нескольких IP-адресов управления и вспомогательных узлов. В числе озвученных индикаторов — IP-адрес 31.57.105.47, используемый в качестве одного из C2, а также IP-адрес «dropper», где размещаются бинарные файлы вредоносного ПО. Исследователи обнаружили множество хэшей полезной нагрузки, зависящих от архитектуры, что подтверждает способность Broadside нацеливаться на широкий спектр устройств.

  • Указанные порты C2: TCP/1026 (основной), TCP/6969 (резервный);
  • Поведение: массовые UDP-флуды для организации DDoS;
  • Файловые индикаторы: попытки чтения /etc/passwd, /etc/shadow;
  • Политика распространения: загрузка архитектурно-зависимых бинарников, множественные хэши payload.

Почему это особенно опасно для морской логистики

Целевое направление — видеорегистраторы на судах — делает Broadside критически опасным для морских сетей. Нарушение работы систем наблюдения и логистики на борту может привести к широкомасштабным сбоям в операциях, задержкам в поставках и, в экстремальных случаях, угрозам безопасности экипажа и груза. Учитывая удалённость и ограниченные возможности быстрой реакции судовых команд, последствия инцидентов в морской среде могут быть более значимыми, чем в обычной корпоративной сети.

Рекомендации для операторов и владельцев судовых сетей

  • Немедленно проверить наличие обновлений и патчей для устройств TBK DVR у производителя и установить их;
  • Изолировать оборудование видеонаблюдения в отдельной VLAN с ограниченным доступом к критическим системам судна;
  • Блокировать на периметре и на устройстве попытки установления соединения с известными C2 и dropper-адресами (включая 31.57.105.47) и запрещённые порты (TCP/1026, TCP/6969);
  • Мониторить аномалии сетевого трафика — признаки UDP flooding и массовых сканирований;
  • Аудитировать доступ к конфиденциальным файлам и попытки чтения /etc/passwd и /etc/shadow;
  • Развернуть правила IDS/IPS, ориентированные на поведенческие сигнатуры Mirai-подобных семейств и полиморфные payload;
  • План реагирования: резервное копирование конфигураций, оперативная изоляция заражённых узлов и уведомление поставщиков и регуляторов при подтверждённом инциденте.

В заключение: по оценке Cydome, ботнет Broadside — это адаптация штамма Mirai с усовершенствованными режимами эксплуатации и закрепления, представляющая значительную угрозу для морской отрасли и любых инфраструктур, зависящих от уязвимых устройств DVR. Операторы судовых систем должны рассматривать эту угрозу как приоритетную и принять проактивные меры по защите и сегментации сетей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: