Уязвимости Realtek и Cacti теперь активно используются обновлёнными Moobot и ShellBot

Сразу несколько активно функционирующих в данный момент вредоносных ботнетов нацелены на уязвимости Cacti — это веб-приложение, которое используется для мониторинга сетевого оборудования и перформанса. Он использует SNMP для сбора данных о состоянии устройств и отображает их в виде графиков. Cacti позволяет администраторам мониторить ресурсы сети, такие как использование пропускной способности, загрузку процессора и дисковое использование.

» data-html=»true» data-original-title=»Cacti»>Cacti и Realtek — тайваньская компания, специализирующаяся на производстве микросхем для аудио, сетевых устройств, контроллеров видео и других электронных устройств. Она была основана в 1987 году и является одним из крупнейших производителей чипов в мире.

» data-html=»true» data-original-title=»Realtek»>Realtek. Вредоносные кампании, в рамках которых распространялись вредоносные программы ShellBot и Moobot, исследовались
специалистами Fortinet — это компания, которая занимается разработкой и производством оборудования и программного обеспечения для информационной безопасности. Она была основана в 2000 году в Калифорнии, а в настоящий момент имеет офисы в более чем 100 странах мира.
Продукты Fortinet включают в себя решения для сетевой безопасности, такие как фаерволы, VPN, антивирусное и антималварное программное обеспечение.

» data-html=»true» data-original-title=»Fortinet»>Fortinet в период с января по март 2023 года.

Целевыми уязвимостями являются CVE-2021-35394 , критическая уязвимость удаленного выполнения кода в Realtek Jungle SDK, а также CVE-2022-46169 , критическая уязвимость внедрения команд в инструменте мониторинга сбоев Cacti.

Обе уязвимости в прошлом использовались другими вредоносными программами для ботнетов, включая Fodcha, RedGoBot, Mirai, Gafgyt и Mozi.

Fortinet сообщила в своём недавнем отчёте, что объем вредоносной активности в 2023 году значителен и нацелен на открытые сетевые устройства, чтобы сделать их частью ботнетов и привлечь DDoS-атака – распределенная атака типа отказ в обслуживании, которая являет собой одну из самых распространенных и опасных сетевых атак. В результате атаки нарушается или полностью блокируется обслуживание законных пользователей, сетей, систем и иных ресурсов.

DDoS-атака заключается в непрерывном обращении к сайту со многих компьютеров, которые расположены в разных частях мира. В большинстве случаев эти компьютеры заражены вирусами, которые управляются мошенниками централизовано и объедены в одну ботсеть (ботнет). Компьютеры, которые входят в ботсеть, рассылают спам, участвуя, таким образом, в DDoS-атаках.

» data-html=»true» data-original-title=»DDoS»>DDoS-атакам.

Ботнет Moobot — это вариация Mirai, впервые обнаруженная в декабре 2021 года и нацеленная на камеры Hikvision. В сентябре 2022 года он был модифицирован и использован в атаках на маршрутизаторы D-Link.

В настоящее время Moobot нацелен на вышеупомянутые CVE-2021-35394 и CVE-2022-46169 для заражения уязвимых хостов и последующей загрузки скрипта для соединения с C2-сервером для получения от него команд.

Примечательной особенностью новых версий Moobot является их способность сканировать и уничтожать процессы других известных Ботнет — это совокупность подключенных к Интернету устройств, которые могут включать персональные компьютеры (ПК), серверы, мобильные устройства и устройства Интернета вещей (IoT), которые заражены и контролируются вредоносным ПО без ведома их владельца.

» data-html=»true» data-original-title=»Ботнет»>ботнет-программ, чтобы использовать аппаратную мощность заражённого хоста на максимум и запуска высокоэффективных DDoS-атак.

ShellBot был впервые обнаружен в январе 2023 года и продолжает свою активность по сей день. Он нацелен в первую очередь на уязвимость Cacti ( CVE-2022-46169 ). Fortinet зафиксировала три разных варианта ShellBot, что указывает на его активную разработку. Вредонос способен инициировать DDoS-атаки, сканировать порты, скачивать дополнительные полезные нагрузки, удалять файлы и папки с заражённого компьютера и многое другое.

Fortinet для защиты от Mootbot и ShellBot рекомендует использовать надёжные пароли администратора и своевременно применять последние обновления безопасности. А если используемое устройство больше не поддерживается производителем и не получает обновлений программного обеспечения, его следует заменить на более новую модель.

Источник