Эксперты обнаружили, что ботнет MooBot, построенный на базе IoT-вредоноса Mirai, нацелился на уязвимые маршрутизаторы D-Link, используя против них сочетание старых и новых эксплоитов.

ИБ-специалисты давно не писали об активности MooBot: последнее исследование было датировано декабрем прошлого года, когда MooBot взял на вооружение уязвимость CVE-2021-36260 в камерах Hikvision, заражая эти девайсы и используя их для DDoS-атак.

Как выяснилось теперь, недавно MooBot сменил «сферу деятельности», что в целом типично для ботнетов, которые все время ищут новые пулы уязвимых устройств, которые могут захватить. Так, согласно свежему отчету, Palo Alto Network, в настоящее время вредонос нацелен на следующие критические уязвимости в устройствах D-Link:

  • CVE-2015-2051: проблема выполнения команд в D-Link HNAP SOAPAction;
  • CVE-2018-6530: RCE в интерфейсе D-Link SOAP;
  • CVE-2022-26258: удаленное выполнение команд на устройствах D-Link;
  • CVE-2022-28958: удаленное выполнение команд на устройствах D-Link.

Стоит отметить, что производитель давно выпустил патчи для устранения этих проблем, так как две уязвимости вообще дотированы 2015 и 2018 годами. Однако еще не все пользователи применили эти исправления, особенно последние два, вышедшие в марте и мае текущего года.

Операторы малвари эксплуатируют уязвимости, чтобы добиться удаленного выполнения кода на уязвимых устройствах и запустить вредоносный бинарник с помощью произвольных команд.

Затем захваченные маршрутизаторы используются для проведения DDoS-атак на различные цели, в зависимости от того, чего хотят добиться операторы MooBot. Как правило, злоумышленники сдают мощности своего ботнета в аренду другим преступникам, поэтому от атак MooBot страдают самые разные сайты и сервисы.

Интересно, что адреса управляющих серверов, представленные в отчете Palo Alto Network, отличаются от адресов из декабрьского отчета Fortinet, что свидетельствует об обновлении инфраструктуры хакеров.

Эксперты пишут, что пользователи скомпрометированных устройств D-Link могут заметить падение скорости интернета, зависания, перегрев маршрутизатора или изменения в конфигурации DNS. Лучший способ защиты от MooBot — применить все доступные обновления прошивки.

Источник: xakep