Τα botnets κακόβουλου λογισμικού εκμεταλλεύονται επί του παρόντος τα τρωτά σημεία των Realtek και Cacti.
Από τον Ιανουάριο έως τον Μάρτιο του 2023, εντοπίστηκαν διάφορα botnets κακόβουλου λογισμικού που εκμεταλλεύονταν ενεργά τις ευπάθειες Cacti και Realtek για να εξαπλώσουν τα ShellBot και Moobot.
Το Realtek Jungle SDK είναι επί του παρόντος ευάλωτο σε ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα (CVE-2021-35394), ενώ το εργαλείο παρακολούθησης διαχείρισης σφαλμάτων του Cacti περιέχει μια σοβαρή ευπάθεια έγχυσης εντολών (CVE-2022-46169).
Αρκετά κακόβουλα botnet, συμπεριλαμβανομένων των Fodcha, RedGoBot, Mirai, Gafgyt και Mozi, έχουν αξιοποιήσει στο παρελθόν αυτές τις δύο ευπάθειες.
Το 2023, η Fortinet προειδοποιεί ότι η κακόβουλη δραστηριότητα αυξάνεται σημαντικά και οι ευάλωτες εκτεθειμένες συσκευές δικτύου στοχοποιούνται για να στρατολογηθούν για DDoS (distributed denial of service) swarms.
Παρόλο που η έκθεση της Fortinet δεν προσδιορίζει ρητά αν οι ίδιοι κακόβουλοι φορείς έχουν διαδώσει το Moobot και το ShellBot, παρατήρησαν payload που εκμεταλλεύονται παρόμοιες ευπάθειες σε ταυτόχρονα κύματα επιθέσεων.
Μολύνσεις Moobot
Τον Δεκέμβριο του 2021, το Moobot – μια παραλλαγή του Mirai – παρατηρήθηκε για πρώτη φορά να επιτίθεται σε κάμερες Hikvision. Τον επόμενο Σεπτέμβριο, το κακόβουλο λογισμικό υποβλήθηκε σε αναβάθμιση για να εκμεταλλευτεί πολλαπλές ευπάθειες ασφαλείας σε προϊόντα και συστήματα της D-Link.
Προς το παρόν, αυτό το κακόβουλο λογισμικό εκμεταλλεύεται τα CVE-2021-35394 και CVE-2022-46169 σε ευαίσθητους υπολογιστές για να κατεβάσει ένα script με τις λεπτομέρειες διαμόρφωσης και να ξεκινήσει επικοινωνία με τον C2 server.
Το Moobot αναμεταδίδει και λαμβάνει τακτικά μηνύματα καρδιακού παλμού μέχρι να ανιχνεύσει μια εισερχόμενη εντολή, η οποία προτρέπει την επίθεσή του.
Μια εντυπωσιακή ιδιότητα των νεότερων παραλλαγών του Moobot είναι η ικανότητά τους να εντοπίζουν και να τερματίζουν διεργασίες που σχετίζονται με άλλα καθιερωμένα bots, επιτρέποντάς τους έτσι να εκμεταλλεύονται όλες τις δυνατότητες ενός θύματος υποδοχής για την εξαπόλυση καταστροφικών επιθέσεων DDoS.
ShellBot επιθέσεις
Μετά τον αρχικό εντοπισμό του ShellBot τον Ιανουάριο του 2023, το κακόβουλο λογισμικό εξακολουθεί να είναι ενεργό μέχρι σήμερα και στοχεύει ιδιαίτερα σε ευπάθειες του Cacti. Η Fortinet σημείωσε τρεις διαφορετικές εκδόσεις του malware, γεγονός που υποδηλώνει ότι οι δημιουργοί του το προωθούν ενεργά.
Με την εγκαθίδρυση σύνδεσης με το C2, η παραλλαγή 1 επιτρέπει στον εαυτό της να λαμβάνει οποιαδήποτε από αυτές τις εντολές:
- ps – πραγματοποιήσε σάρωση θύρας στον καθορισμένο στόχο και θύρα
- nmap – εκτέλεσε μια σάρωση θύρας Nmap σε μια καθορισμένη περιοχή θυρών
- rm – διαγραφή αρχείων και φακέλων
- version – αποστολή πληροφοριών έκδοσης
- down – download του αρχείου
- udp – εκκίνηση της επίθεσης UDP DDoS
- back – inject reverse shell
Η δεύτερη παραλλαγή του ShellBot, η οποία εμφανίστηκε για πρώτη φορά τον Μάρτιο του 2023 και μετράει ήδη εκατοντάδες θύματα, διαθέτει ένα πολύ πιο εκτεταμένο σύνολο εντολών, όπως φαίνεται παρακάτω:
Είναι ενδιαφέρον ότι το malware είναι εξοπλισμένο με μια εξελιγμένη μονάδα βελτίωσης exploit που μπορεί να συγκεντρώνει ειδήσεις και δημόσια advisories από το PacketStorm και το milw0rm.
Για την προστασία από το Mootbot και το ShellBot, είναι σημαντικό να αναπτύξετε ισχυρούς κωδικούς πρόσβασης για τους διαχειριστές και να εγκαταστήσετε τις ενημερώσεις ασφαλείας που διορθώνουν τις υπάρχουσες ευπάθειες. Λαμβάνοντας αυτά τα μέτρα, θα μπορέσετε να προστατεύσετε την επιχείρησή σας από πιθανούς κινδύνους.
Εάν η συσκευή σας δεν υποστηρίζεται πλέον από τον προμηθευτή της, είναι απαραίτητο να την αντικαταστήσετε με ένα σύγχρονο μοντέλο για να εξασφαλίσετε συνεχείς ενημερώσεις ασφαλείας.
Πηγή πληροφοριών: bleepingcomputer.com
