Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новый ботнет Mozi заражает маршрутизаторы Netgear, D-Link и Huawei

25/12/19

hack49-3Операторы нового однорангового ботнета (P2P), получившего название Mozi, в ходе недавней вредоносной кампании активно проверяли маршрутизаторы Netgear, D-Link и Huawei на наличие ненадежных паролей Telnet.

По словам исследователей безопасности из компании Qihoo 360 Netlab, киберпреступники используют ботнет для осуществления DDoS-атак. Ботнет использует часть кода Gafgyt, однако не является его производным. В Mozi реализован DHT-протокол, основанный на стандартном протоколе, обычно используемом торрент-клиентами и другими P2P-платформами для хранения контактной информации узла.

Таким образом злоумышленники могут быстрее заражать новые устройства без необходимости использования серверов, а также «скрывать полезную нагрузку в огромном объеме обычного DHT-трафика». Mozi также использует алгоритмы ECDSA384 и XOR для обеспечения целостности и безопасности компонентов ботнета и сети P2P.

Вредонос использует Telnet-протокол и уязвимости в оборудовании для заражения новых устройств. Операторы авторизуются на целевом маршрутизаторе или видеорегистраторе CCTV с ненадежным паролем, а затем загружают и выполняют полезную нагрузку после успешной эксплуатации уязвимостей в непропатченных хостах. После запуска вредоносного ПО на скомпрометированном устройстве, бот автоматически присоединяется к сети Mozi в качестве нового узла, который в дальнейшем используется для поиска и заражения других уязвимых устройств.

Для обеспечения защиты от перехвата другими преступными группировками, операторы Mozi также настроили автоматическую проверку всех отправляемых на узлы ботнета команд и синхронизированных конфигураций. Таким образом узлами принимаются и выполняются только конфигурации, прошедшие проверку.

Функционал Mozi включает возможность осуществления DDoS-атак, сбора и эксфильтрации информации о зараженных хостах, загрузки и выполнения полезной нагрузки с определенных ресурсов, загрузки обновлений, а также выполнение команд.

В настоящее время список атакуемых ботнетом устройств включает следующие: Eir D1000, Vacron NVR, устройства, использующие Realtek SDK, Netgear R7000 и R6400, DGN1000 Netgear, MVPower DVR, Huawei HG532, D-Link, CCTV DVR и маршрутизаторы GPON.

Темы:УгрозыботнетмаршрутизаторыQihoo 360
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...