SOS :: Security Operation Space
15 ноября, четверг, 00:00
|
Hot News:

Satori обрел новые эксплойты

18 июня 2018 г., понедельник, 13:55

Новый всплеск сканов с ботнета нацелен на поиск роутеров и IoT-устройств с открытыми портами 8000, 80 и 8080.

На прошлой неделе многие исследователи отметили резкий рост интернет-активности, нацеленной на поиск устройств с открытым портом 8000. Как оказалось, эта неожиданная и сильная вспышка была вызвана новой пробой пера IoT-ботов Satori. Автор этого зловреда вооружил его очередным эксплойтом на базе недавно раскрытого PoC-кода, и ботоводы, видимо, решили сразу пустить его в ход.

Концепция захвата контроля над подключенным к Интернету устройством путем использования ошибки переполнения буфера (CVE-2018-10088), которой подвержен HTTP-демон разработки Xiongmai Technologies, была опубликована 8 июня. По свидетельству Bleeping Computer, этот облегченный вариант веб-сервера (uc-httpd 1.0.0) нередко включают в комплект китайские продавцы роутеров и IoT-устройств.

Эксплуатация названной уязвимости осуществляется посредством подачи вредоносных пакетов на порт 80 или 8000. Активизация сканов порта 8000 была зафиксирована на следующий день после раскрытия PoC-эксплойта и достигла пика 14 июня.

Экспертам китайской ИБ-компании Qihoo 360 удалось связать эту вредоносную активность с IoT-ботнетом Satori. По всей видимости, его операторы таким образом пытаются восполнить потери, понесенные в результате декабрьской разгромной акции.

Согласно наблюдениям, в минувшую пятницу агрессивное сканирование порта 8000 пошло на спад. Расследование показало, что причиной является отнюдь не провал попыток заражения, как хотелось бы верить, а пополнение арсенала Satori еще одним эксплойтом — для роутеров D-Link DSL-2750B.

По словам репортера Bleeping Computer, соответствующий PoC был обнародован в прошлом месяце; он позволяет проводить атаки на портах 80 и 8080. Новый всплеск скан-активности Satori подтвердил, что его ботоводы хотят полонить как можно больше роутеров, пока ими не завладели конкуренты.

О существовании бот-сети Satori, построенной на основе модификации IoT-бота Mirai, широкая общественность впервые узнала в ноябре прошлого года. В отличие от своего грозного предшественника, этот ботнет расширяет свой потенциал в основном за счет использования эксплойтов. Вначале он с этой целью атаковал брешь CVE-2014-8361 в SOAP-сервисах, реализованных с помощью Realtek SDK, а также CVE-2017–17215, которой подвержены роутеры Huawei HG532. В прошлом месяце эксперты обнаружили, что в арсенал Satori добавлены эксплойты для GPON-роутеров производства Dasan Networks.

Насколько известно, данный ботнет преимущественно используется для добычи криптовалюты посредством угона майнеров и майнинг-ферм. Боты Satori также несколько раз были уличены в проведении DDoS-атак.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
17:36
16:15
15:59
15:16
15:15
15:15
15:07
14:59
13:15
11:15
10:15
09:15
08:15
08:15
07:15
07:15
06:15
05:34


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.160
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.