Обнаружен «RustoBot»: ботнет для устройств TOTOLINK

Компания FortiGuard Labs сообщила о наличии нового ботнета, получившего название «RustoBot». Этот вредоносный софт написан на языке программирования Rust и нацелен на устройства TOTOLINK, используя уязвимости в CGI-интерфейсе.
Атаки на устройства TOTOLINK
«RustoBot» активно использует уязвимости в скрипте cstecgi.cgi, который управляет вводом данных пользователем и изменениями конфигурации на маршрутизаторах TOTOLINK. В частности, ботнет использует недостатки ввода команд, связанные с функциями:
setUpgradeFW (CVE-2022-26210)pingCheck (CVE-2022-26187)
Анализ уязвимостей
В ходе анализа также была выявлена новая уязвимость CVE-2024-12987, затрагивающая устройства DrayTek, и демонстрирующая скоординированную схему атак в таких странах, как Япония, Тайвань, Вьетнам и Мексика, преимущественно в технологическом секторе.
Технические характеристики «RustoBot»
Анализ версии «RustoBot» для архитектуры x86 показал, что вредоносное ПО распространяется через различные скрипты-загрузчики, используя команды wget и tftp. Ботнет поддерживает множество архитектур, включая:
- arm5
- arm6
- arm7
- mips
- mpsl
Несмотря на это, большинство атак сосредоточены на архитектуре mpsl, распространенной в устройствах TOTOLINK. На том же сервере также был обнаружен вариант для архитектуры x86.
Методы заражения и атаки
«RustoBot» использует вредоносное поведение, извлекая смещения функций системного API из глобальной таблицы смещений (GOT) и выполняя их. Процесс декодирования включает манипуляции с константами и использование побитовых операций. Его основные действия включают:
- Доступ к домену сервера управления (C2)
- Выполнение распределённых атак типа «отказ в обслуживании» (DDoS)
Сначала бот получает общедоступный IP-адрес своей цели с помощью DNS-over-HTTPS (DoH), что маскирует его трафик среди обычных HTTPS-запросов. После подключения «RustoBot» получает инструкции с командами для DDoS-атаки, способной использовать три различных протокола:
- Необработанный IP
- TCP
- UDP
Выводы
Использование Интернета вещей и сетевых устройств говорит о значительном пробеле в безопасности этих конечных точек, что подчеркивает необходимость усовершенствованных мер мониторинга и аутентификации для уменьшения уязвимостей и эффективной борьбы с внедрением вредоносных программ.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



