Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Операторы ботнета BotenaGo используют 33 эксплоита в новой вредоносной кампании

15/11/21

hack8-3Операторы нового ботнета под названием BotenaGo используют более тридцати эксплоитов в ходе вредоносной кампании, нацеленной на маршрутизаторы и IoT-устройства.

BotenaGo написан на языке Golang (Go), популярность которого в последние годы растет среди киберпреступников. Только 6 из 62 антивирусных движков на VirusTotal помечают образец BotenaGo как вредоносный, а некоторые идентифицируют его как Mirai.

BotenaGo включает 33 эксплоита для различных маршрутизаторов, модемов и NAS-устройств, некоторые примечательные примеры приведены ниже:

  • CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: маршрутизаторы D-Link;
  • CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: устройства Netgear;
  • CVE-2019-19824: маршрутизаторы на основе Realtek SDK;
  • CVE-2017-18368, CVE-2020-9054: маршрутизаторы Zyxel и устройства NAS;
  • CVE-2020-10987: продукты Tenda;
  • CVE-2014-2321: модемы ZTE;
  • CVE-2020-8958: Guangzhou 1GE ONU.

После установки вредоносная программа будет сканировать два порта (31412 и 19412) в ожидании отправки на них IP-адреса. Как только IP-адрес будет получен, бот будет использовать каждую уязвимость на этом IP-адресе для получения доступа. Как только BotenaGo получит доступ, он выполнит удаленные shell-команды для подключения устройства к сети ботнета.

В зависимости от типа устройства вредоносная программа использует разные ссылки для получения соответствующей полезной нагрузки. Кроме того, исследователи не обнаружили активной связи между BotenaGo и C&C-сервером злоумышленников.

Как предполагают эксперты из AT&T, BotenaGo является только частью многоэтапной модульной атаки вредоносного ПО и не отвечает за обработку сообщений. Также BotenaGo может быть новым инструментом, используемым операторами Mirai на определенных устройствах и ходе некоторых атак. Третья теория подразумевает, что вредоносная программа еще не готова к работе, а образец ее ранней стадии разработки случайно оказался в Сети.

Темы:ПреступленияботнетAT&T

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...