Обнаружен «RustoBot»: ботнет для устройств TOTOLINK

Обнаружен 171RustoBot187: ботнет для устройств TOTOLINK

Компания FortiGuard Labs сообщила о наличии нового ботнета, получившего название «RustoBot». Этот вредоносный софт написан на языке программирования Rust и нацелен на устройства TOTOLINK, используя уязвимости в CGI-интерфейсе.

Атаки на устройства TOTOLINK

«RustoBot» активно использует уязвимости в скрипте cstecgi.cgi, который управляет вводом данных пользователем и изменениями конфигурации на маршрутизаторах TOTOLINK. В частности, ботнет использует недостатки ввода команд, связанные с функциями:

  • setUpgradeFW (CVE-2022-26210)
  • pingCheck (CVE-2022-26187)

Анализ уязвимостей

В ходе анализа также была выявлена новая уязвимость CVE-2024-12987, затрагивающая устройства DrayTek, и демонстрирующая скоординированную схему атак в таких странах, как Япония, Тайвань, Вьетнам и Мексика, преимущественно в технологическом секторе.

Технические характеристики «RustoBot»

Анализ версии «RustoBot» для архитектуры x86 показал, что вредоносное ПО распространяется через различные скрипты-загрузчики, используя команды wget и tftp. Ботнет поддерживает множество архитектур, включая:

  • arm5
  • arm6
  • arm7
  • mips
  • mpsl

Несмотря на это, большинство атак сосредоточены на архитектуре mpsl, распространенной в устройствах TOTOLINK. На том же сервере также был обнаружен вариант для архитектуры x86.

Методы заражения и атаки

«RustoBot» использует вредоносное поведение, извлекая смещения функций системного API из глобальной таблицы смещений (GOT) и выполняя их. Процесс декодирования включает манипуляции с константами и использование побитовых операций. Его основные действия включают:

  • Доступ к домену сервера управления (C2)
  • Выполнение распределённых атак типа «отказ в обслуживании» (DDoS)

Сначала бот получает общедоступный IP-адрес своей цели с помощью DNS-over-HTTPS (DoH), что маскирует его трафик среди обычных HTTPS-запросов. После подключения «RustoBot» получает инструкции с командами для DDoS-атаки, способной использовать три различных протокола:

  • Необработанный IP
  • TCP
  • UDP

Выводы

Использование Интернета вещей и сетевых устройств говорит о значительном пробеле в безопасности этих конечных точек, что подчеркивает необходимость усовершенствованных мер мониторинга и аутентификации для уменьшения уязвимостей и эффективной борьбы с внедрением вредоносных программ.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: