Хакеры используют ботнет Mirai для взлома промышленных маршрутизаторов через уязвимости нулевого дня

Хакеры используют ботнет Mirai для взлома промышленных маршрутизаторов через уязвимости нулевого дня

источник: dall-e

Хакеры модернизируют новую версию ботнета Mirai, повышая его сложность. Теперь вредоносное ПО активно эксплуатирует уязвимости нулевого дня в промышленных маршрутизаторах и устройствах «умного дома». По данным экспертов Chainxin X Lab, наблюдающих за развитием и атаками ботнета, эксплуатация ранее неизвестных уязвимостей началась в ноябре 2024 года.

Эксплуатируемые уязвимости

Одной из наиболее активно используемых уязвимостей является CVE-2024-12856 — критическая уязвимость в промышленных маршрутизаторах Four-Faith, обнаруженная VulnCheck в конце декабря 2024 года. Попытки её эксплуатации зафиксированы с 20 декабря.

Помимо этого, ботнет использует частные эксплойты для уязвимостей в маршрутизаторах Neterbit и устройствах Vimar для «умного дома».

Масштаб заражения

Ботнет был обнаружен в феврале 2024 года и в настоящее время насчитывает 15 000 ежедневно активных бот-узлов, расположенных в Китае, США, России, Турции и Иране. По данным Chainxin X Lab, основное назначение ботнета — проведение DDoS-атак на конкретные компании. Вредонос ежедневно атакует сотни объектов, причем пик активности пришелся на октябрь-ноябрь 2024 года.

Целевые устройства

Ботнет ориентирован на следующие категории устройств:

  • Промышленные маршрутизаторы: Four-Faith, Neterbit
  • Домашние маршрутизаторы: ASUS, Huawei, LB-Link
  • Устройства «умного дома»: Vimar
  • DVR-устройства: Kguard, Lilin, стандартные DVR
  • Камеры наблюдения: PZT
  • 5G/LTE-устройства

Механизмы распространения

Вредоносное ПО использует комбинированные техники взлома:

  • Подбор слабых паролей Telnet для проникновения в системы.
  • Использование публичных и частных эксплойтов для более чем 20 уязвимостей.
  • Специализированная упаковка UPX с уникальными сигнатурами для обхода детектирования.
  • Командная структура на базе Mirai для обновления клиентов, сетевого сканирования и проведения DDoS-атак.

Ботнет продолжает активно развиваться, расширяя свою инфраструктуру и адаптируя методы атак под новые уязвимости.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: