 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
17 апреля, среда, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Новый всплеск сканов с ботнета нацелен на поиск роутеров и IoT-устройств с открытыми портами 8000, 80 и 8080.
На прошлой неделе многие исследователи отметили резкий рост интернет-активности, нацеленной на поиск устройств с открытым портом 8000. Как оказалось, эта неожиданная и сильная вспышка была вызвана новой пробой пера IoT-ботов Satori. Автор этого зловреда вооружил его очередным эксплойтом на базе недавно раскрытого PoC-кода, и ботоводы, видимо, решили сразу пустить его в ход.
Концепция захвата контроля над подключенным к Интернету устройством путем использования ошибки переполнения буфера (CVE-2018-10088), которой подвержен HTTP-демон разработки Xiongmai Technologies, была опубликована 8 июня. По свидетельству Bleeping Computer, этот облегченный вариант веб-сервера (uc-httpd 1.0.0) нередко включают в комплект китайские продавцы роутеров и IoT-устройств.
Эксплуатация названной уязвимости осуществляется посредством подачи вредоносных пакетов на порт 80 или 8000. Активизация сканов порта 8000 была зафиксирована на следующий день после раскрытия PoC-эксплойта и достигла пика 14 июня.
Экспертам китайской ИБ-компании Qihoo 360 удалось связать эту вредоносную активность с IoT-ботнетом Satori. По всей видимости, его операторы таким образом пытаются восполнить потери, понесенные в результате декабрьской разгромной акции.
Согласно наблюдениям, в минувшую пятницу агрессивное сканирование порта 8000 пошло на спад. Расследование показало, что причиной является отнюдь не провал попыток заражения, как хотелось бы верить, а пополнение арсенала Satori еще одним эксплойтом — для роутеров D-Link DSL-2750B.
По словам репортера Bleeping Computer, соответствующий PoC был обнародован в прошлом месяце; он позволяет проводить атаки на портах 80 и 8080. Новый всплеск скан-активности Satori подтвердил, что его ботоводы хотят полонить как можно больше роутеров, пока ими не завладели конкуренты.
О существовании бот-сети Satori, построенной на основе модификации IoT-бота Mirai, широкая общественность впервые узнала в ноябре прошлого года. В отличие от своего грозного предшественника, этот ботнет расширяет свой потенциал в основном за счет использования эксплойтов. Вначале он с этой целью атаковал брешь CVE-2014-8361 в SOAP-сервисах, реализованных с помощью Realtek SDK, а также CVE-2017–17215, которой подвержены роутеры Huawei HG532. В прошлом месяце эксперты обнаружили, что в арсенал Satori добавлены эксплойты для GPON-роутеров производства Dasan Networks.
Насколько известно, данный ботнет преимущественно используется для добычи криптовалюты посредством угона майнеров и майнинг-ферм. Боты Satori также несколько раз были уличены в проведении DDoS-атак.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
