Nowy wariant botnetu Mirai atakuje linuksowe serwery i urządzenia IoT

Pojawił się nowy wariant dobrze znanego szkodliwego oprogramowania Mirai (oznaczony symbolem V3G4), który tworzy botnety przeprowadzające ataki DDoS. Badania pokazały, że Mirai/V3G4 wykorzystał w ostatnim półroczu 13 różnych luk i posłużył cyberprzestępcom do przeprowadzenia trzech dużych hakerskich kampanii.

Grafika: CSO

Malware wykazał szczególnie dużą aktywność w ostatnich miesiącach zeszłego roku, atakując serwery linuksowe oraz urządzenia IoT. Co ciekawe, malware najpierw sprawdza, czy zaatakowany system został już wcześniej zainfekowany szkodliwym kodem. Jeśli tak było, przestaje atakować swoją ofiarę i wycofuje się.

Podczas gdy większość znanych wcześniej wersji tego hakerskiego narzędzia używa zawsze tego samego klucza do szyfrowania danych, wariant V3G4 wykorzystuje różne klucze szyfrowania, dlatego jest groźniejszy. Inicjuje przy tym najczęściej na początku atak typu brute-force wykorzytując protokoły sieciowe Telnet lub SSH. Następnie nawiązuje kontakt z hakerskim serwerem C2 i czeka na to aż wyda on mu polecenie do przeprowadzenia właściwego ataku DDoS.

Zobacz również:

  • CIO W OBLICZU AKTUALNYCH WYZWAŃ TECHNOLOGICZNYCH I BIZNESOWYCH

V3G4 wykorzystuje różne luki. Jest to np. luka CVE-2012-4869 (znajdująca się narzędziu FreePBX zarządzającym serwerami komunikacyjnymi; luka CVE-2019-15107 (znajdująca się w oprogramowaniu Webmin); luka CVE-2020-8515 (znajdująca się w routerach DrayTek Vigor); czy luka CVE-2022-4257 (znajdująca się w oprogramowaniu C-Data Web Management System).

Pełną listę wykorzystanych luk (które zdołano do tej pory zidentyfikować), można znaleźć tutaj na witrynie firmy Palo Alto. Znajdują się też tam sugestie dotyczące narzędzi potrafiących wykrywać takie infekcje i zapobiegać atakom, jak również fragmenty kodu, który jest używany przez hakerów do przeprowadzania ataków.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200