Nya användningsområden för BotenaGo Botnet 33 Utnyttjande mot IoT-enheter

PÅ&T experter har upptäckt ett nytt botnät BotenaGo. Skadlig programvara använder mer än trettio utnyttjande för att attackera routrar och andra Internet of Things-enheter.

Som namnet antyder, botnätet är skrivet i Golang (Gå) språk, som har blivit allt populärare bland skadlig programvara de senaste åren. Endast 6 ut ur 62 antivirusprodukter på VirusTotal identifiera BotenaGo som skadlig programvara (med några som identifierar det som en Mirai variation).

VirusTotal-rapport

The researchers say that BotenaGo använder 33 utnyttjar för olika routrar, modem och NAS-enheter. Bland dem finns det utnyttjande för följande problem:

  1. CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: D-Link routrar;
  2. CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: Netgear enheter;
  3. CVE-2019-19824: Realtek SDK-baserade routrar;
  4. CVE-2017-18368, CVE-2020-9054: Zyxel routrar och NAS;
  5. CVE-2020-10987: Tält Produkter;
  6. CVE-2014-2321: ZTE Modem;
  7. CVE-2020-8958: 1GE PÅ.

På grund av så många bedrifter, skadlig programvara kan attackera miljontals enheter. Till exempel, experter skriver det, enligt Shodan, enbart den sårbara Boa-webbservern med öppen källkod, vars stöd redan har upphört, används fortfarande av mer än två miljoner enheter.

Shodan rapport

De PÅ&T Rapporten anger att skadlig programvara använder olika länkar för att ta emot nyttolaster, beroende på enheten som attackeras. Tyvärr, under studiet av skadlig programvara, det fanns inga nyttolaster på servern alls, så det gick inte att studera dem.

För övrigt, forskarna skriver att de ännu inte hittat aktiv kommunikation mellan BotenaGo och servern som kontrolleras av angriparna. De ger tre möjliga förklaringar till detta:

  1. BotenaGo är bara en del (modul) av en flerstegs modulär attack, och det är inte alls ansvarigt för att kommunicera med C&C-server.
  2. BotenaGo är ett nytt verktyg som används av Mirai-operatörer på vissa maskiner. Denna teori stöds av allmänna referenser för nyttolaster.
  3. Skadlig programvara är inte redo för arbete ännu, och provet hamnade av misstag i nätverket.

Låt mig påminna dig om att jag också skrev det Rosa botnet är infekterat över 1.5 miljoner enheter, liksom det MyKings botnet stjäl kryptovaluta via urklipp.

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen