Киберпреступники используют уязвимость в ThinkPHP для распространения вариантов Mirai и GafGyt

Специалисты компании Trend Micro обнаружили новую кампанию по распространению вариантов вредоносного ПО Mirai и GafGyt, получивших названия Hakai и Yowai соответственно. В ходе атак злоумышленники использую исправленную в декабре прошлого года, уязвимость в фреймворке ThinkPHP для взлома web-серверов и дальнейшего расширения ботнетов Hakai и Yowai.

Как поясняют исследователи, киберпреступники используют сайты, созданные с помощью ThinkPHP, для взлома серверов через атаки перебора по словарю. Эти маршрутизаторы в дальнейшем используются для осуществления мощных DDoS-атак.

Ботнет Yowai имеет ту же таблицу конфигурации, что и другие варианты Mirai, и использует эксплоит для ThinkPHP наряду с другими уязвимостями.

Yowai осуществляет связь с C&C-сервером через порт 6. После инфицирования маршрутизатора ботнет сразу производит атаку "перебор по словарю" для заражения других устройств, которые затем становятся частью Yowai.

Наряду с уязвимостью в ThinkPHP Yowai эксплуатирует баги в Realtek SDK, маршрутизаторах Linksys и Dasan, а также в видеорегистраторах.

Ботнет Hakai ранее атаковал исключительно IoT-устройства, однако в новой кампании операторы добавили ряд эксплоитов, в том числе для уязвимости в ThinkPHP и маршрутизаторах D-Link DSL-2750B (CVE-2015-2051, CVE-2014-8361 и CVE-2017-17215).