Το MooBot botnet, μια παραλλαγή του γνωστού Mirai malware botnet χρησιμοποιείται σε επιθέσεις από τις αρχές του περασμένου μήνα, στοχεύοντας ευάλωτα D-Link routers.
Το MooBot ανακαλύφθηκε από αναλυτές της Fortinet τον Δεκέμβριο του 2021. Εκείνη την περίοδο, χρησιμοποιούσε ένα σφάλμα σε κάμερες της Hikvision για να εξαπλωθεί γρήγορα και να στρατολογήσει μεγάλο αριθμό συσκευών στον “DDoS στρατό” του.
Στις τωρινές επιθέσεις, το MooBot φαίνεται πως στοχεύει ευάλωτα D-Link routers. Είναι σύνηθες για ένα botnet να αλλάζει τους στόχους του, καθώς αναζητά συνέχεια νέες ομάδες ευάλωτων συσκευών.
Δείτε επίσης: Zyxel: Νέο NAS firmware διορθώνει κρίσιμη ευπάθεια
Καταιγίδες μεγαλύτερες από τη Γη εντοπίστηκαν στον Δία
Black Basta ransomware: Όλες οι νέες τακτικές
Αποκαλύψεις για τον Μεγαλύτερο Κρατήρα του Φεγγαριού
Σύμφωνα με μια αναφορά από ερευνητές της ομάδας Unit 42 Palo Alto Network, το MooBot botnet χρησιμοποιεί τώρα τα ακόλουθα κρίσιμα ζητήματα στις συσκευές D-Link:
- CVE-2015-2051: D-Link HNAP SOAPAction Header Command Execution ευπάθεια
- CVE-2018-6530: D-Link SOAP Interface Remote Code Execution ευπάθεια
- CVE-2022-26258: D-Link Remote Command Execution ευπάθεια
- CVE-2022-28958: D-Link Remote Command Execution ευπάθεια
Η D-Link κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση αυτών των ευπαθειών, αλλά δεν έχουν εφαρμόσει ακόμη όλοι οι χρήστες τις ενημερώσεις κώδικα. Ειδικά, οι δύο τελευταίες ευπάθειες που έγιναν γνωστές τον Μάρτιο και τον Μάιο, επηρεάζουν ακόμα πολλές συσκευές.
Οι χειριστές του MooBot botnet μπορούν να εκμεταλλευτούν εύκολα αυτές τις ευπάθειες για να πραγματοποιήσουν απομακρυσμένη εκτέλεση κώδικα στους στόχους και να ανακτήσουν το malware binary χρησιμοποιώντας αυθαίρετες εντολές.
Αφού το κακόβουλο λογισμικό αποκωδικοποιήσει το hardcoded address από το configuration, τα D-Link routers καταχωρούνται στο C2 του παράγοντα απειλής.
Στη συνέχεια, τα παγιδευμένα D-Link συμμετέχουν σε επιθέσεις DDoS εναντίον διαφόρων στόχων, ανάλογα με το τι επιθυμούν να επιτύχουν οι χειριστές του MooBot botnet.
Δείτε επίσης: Minecraft: Το παιχνίδι που χρησιμοποιείται περισσότερο από hackers για τη διανομή malware
Συνήθως, οι φορείς απειλών πωλούν υπηρεσίες DDoS σε άλλους, επομένως οι δυνατότητες του botnet νοικιάζονται σε οποιονδήποτε ενδιαφέρεται να προκαλέσει διακοπές λειτουργίας και προβλήματα σε sites και διαδικτυακές υπηρεσίες.
Οι χρήστες των παραβιασμένων D-Link routers ενδέχεται να παρατηρήσουν πτώση της ταχύτητας του Διαδικτύου, προβλήματα στην απόκριση, υπερθέρμανση του router ή ανεξήγητες αλλαγές στη διαμόρφωση DNS.
Για να προστατεύσετε το D-Link router σας από το MooBot botnet, εφαρμόσετε άμεσα τις διαθέσιμες ενημερώσεις firmware. Εάν χρησιμοποιείτε μια παλιά και μη υποστηριζόμενη συσκευή, θα πρέπει να τη διαμορφώσετε για να αποτρέψετε την απομακρυσμένη πρόσβαση στον πίνακα διαχείρισης.
Δείτε επίσης: Νέο κακόβουλο λογισμικό Linux μπορεί να αποφύγει τον εντοπισμό
Εάν έχει γίνει ήδη παραβίαση, θα πρέπει να πραγματοποιήσετε επαναφορά από το αντίστοιχο φυσικό κουμπί, να αλλάξετε τον κωδικό πρόσβασης διαχειριστή και, στη συνέχεια, να εγκαταστήσετε τις πιο πρόσφατες ενημερώσεις ασφαλείας από τον προμηθευτή.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της Palo Alto Networks.
Πηγή: www.bleepingcomputer.com