Nuovi usi della botnet BotenaGo 33 Exploit contro i dispositivi IoT
A&T esperti ho scoperto una nuova botnet BotenaGo. Il malware utilizza più di trenta exploit per attaccare router e altri dispositivi Internet of Things.
Come il nome suggerisce, la botnet è scritta nel Golang (andare) linguaggio, che è diventato sempre più popolare tra gli sviluppatori di malware negli ultimi anni. Soltanto 6 fuori da 62 prodotti antivirus attivi VirusTotale identificare BotenaGo come malware (con alcuni che lo identificano come a Mirai variazione).
The researchers say that BotenaGo usi 33 exploit per vari router, modem e dispositivi NAS. Tra questi ci sono exploit per i seguenti problemi:
- CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: D-Link router;
- CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: Netgear dispositivi;
- CVE-2019-19824: Realtek Router basati su SDK;
- CVE-2017-18368, CVE-2020-9054: Zyxel router e NAS;
- CVE-2020-10987: Tenda Prodotti;
- CVE-2014-2321: ZTE Modem;
- CVE-2020-8958: 1GE ON.
A causa di tanti exploit, il malware è in grado di attaccare milioni di dispositivi. Per esempio, gli esperti scrivono che, secondo Shodan, il vulnerabile server web open source Boa da solo, il cui supporto è già stato interrotto, è ancora utilizzato da più di due milioni di dispositivi.
Il A&T il rapporto afferma che il malware utilizza collegamenti diversi per ricevere payload, a seconda del dispositivo attaccato. Sfortunatamente, durante lo studio del malware, non c'erano affatto payload sul server, quindi non è stato possibile studiarli.
Inoltre, i ricercatori scrivono di non aver ancora trovato comunicazioni attive tra BotenaGo e il server controllato dagli aggressori. Danno tre possibili spiegazioni per questo:
- BotenaGo è solo una parte (modulo) di un attacco modulare a più stadi, e non è affatto responsabile della comunicazione con il C&C server.
- BotenaGo è un nuovo strumento utilizzato dagli operatori Mirai su alcune macchine. Questa teoria è supportata da riferimenti generali per i carichi utili.
- Il malware non è ancora pronto per funzionare, e il campione è entrato accidentalmente nella rete.
Vi ricordo che l'ho anche scritto Rosa la botnet è infettata 1.5 milioni di dispositivi, così come quello i miei re botnet ruba criptovaluta tramite appunti.