Срочно. Нацеленные на интернет вещей эксплуатируемые штаммы вирусов обнаружены исследователями

Новый штамм зловреда Mirai обнаружили исследователи. Вирус несёт угрозу интернету вещей. Фото: Pixabay

Согласно сообщению в блоге исследователей группы по анализу угроз Unit 42 Palo Alto Networks, атаки впервые были зафиксированы в середине февраля. Один IP-адрес, участвовавший в атаке, был обновлён для обслуживания варианта Mirai с использованием  CVE-2021-27561 и CVE-2021-27562 , всего через несколько часов после публикации сведений об уязвимости.

Ранее в этом месяце те же образцы были получены с третьего IP-адреса с добавлением эксплойта, использующего  CVE-2021-22502 . В конце прошлой недели  в образцы также был включён эксплойт, нацеленный на  CVE-2020-26919 .

Исследователи заявили, что в атаках также используются три другие уязвимости интернета вещей, которые ещё предстоит идентифицировать. К ним относятся две уязвимости удалённого выполнения команд для неизвестных целей и уязвимость, используемая  Moobot  в прошлом.

Во всех атаках хакеры используют утилиту wget для загрузки сценария оболочки из инфраструктуры вредоносного ПО. Затем сценарий оболочки загружает несколько двоичных файлов Mirai, скомпилированных для разных архитектур, и выполняет эти загруженные двоичные файлы один за другим.

Помимо загрузки Mirai, были обнаружены и другие вредоносные сценарии оболочки.

«На момент написания этой статьи атаки ещё продолжаются. После успешной эксплуатации злоумышленники пытаются загрузить вредоносный сценарий оболочки, который содержит дополнительные способы заражения, такие как загрузка и выполнение вариантов Mirai и брутфорсеров», — сообщили в Palo Alto Networks. 

После успешной атаки хакеры загружают другие двоичные файлы для планирования заданий, создания правил фильтрации, проведения атак методом грубой силы или распространения вредоносного ПО.

Среди них - lolol.sh, который загружает «тёмные» двоичные файлы и планирует задание, которое будет запускаться каждый час, для повторного запуска сценария lolol.sh.

«Однако конфигурация cron неверна. Это была бы попытка перезапустить процесс в случае его сбоя или остановки по какой-либо другой причине », - заявили исследователи.

Install.sh загружает GoLang v1.9.4 в целевую систему и добавляет его в системный путь. Он также загружает двоичные файлы «nbrute» и файл «combo.txt». Nbrute. [Arch] в основном служит для перебора различных учётных данных, содержащихся в combo.txt, при инициации SSH-соединения с определённым IP-адресом.

Combo.txt — это простой текстовый файл, содержащий многочисленные комбинации учётных данных (часто учётные данные по умолчанию на устройствах). Dark [Arch] — это двоичный файл, основанный на кодовой базе Mirai, и в основном служит для распространения или перебора соединений SSH с использованием некоторых жёстко закодированных учётных данных в двоичном файле.

«Сфера Интернета вещей остаётся легко доступной целью для злоумышленников. Многие уязвимости очень легко использовать и в некоторых случаях могут иметь катастрофические последствия», — добавили исследователи.