15/11/21
Операторы нового ботнета под названием BotenaGo используют более тридцати эксплоитов в ходе вредоносной кампании, нацеленной на маршрутизаторы и IoT-устройства.
BotenaGo написан на языке Golang (Go), популярность которого в последние годы растет среди киберпреступников. Только 6 из 62 антивирусных движков на VirusTotal помечают образец BotenaGo как вредоносный, а некоторые идентифицируют его как Mirai.
BotenaGo включает 33 эксплоита для различных маршрутизаторов, модемов и NAS-устройств, некоторые примечательные примеры приведены ниже:
- CVE-2015-2051, CVE-2020-9377, CVE-2016-11021: маршрутизаторы D-Link;
- CVE-2016-1555, CVE-2017-6077, CVE-2016-6277, CVE-2017-6334: устройства Netgear;
- CVE-2019-19824: маршрутизаторы на основе Realtek SDK;
- CVE-2017-18368, CVE-2020-9054: маршрутизаторы Zyxel и устройства NAS;
- CVE-2020-10987: продукты Tenda;
- CVE-2014-2321: модемы ZTE;
- CVE-2020-8958: Guangzhou 1GE ONU.
После установки вредоносная программа будет сканировать два порта (31412 и 19412) в ожидании отправки на них IP-адреса. Как только IP-адрес будет получен, бот будет использовать каждую уязвимость на этом IP-адресе для получения доступа. Как только BotenaGo получит доступ, он выполнит удаленные shell-команды для подключения устройства к сети ботнета.
В зависимости от типа устройства вредоносная программа использует разные ссылки для получения соответствующей полезной нагрузки. Кроме того, исследователи не обнаружили активной связи между BotenaGo и C&C-сервером злоумышленников.
Как предполагают эксперты из AT&T, BotenaGo является только частью многоэтапной модульной атаки вредоносного ПО и не отвечает за обработку сообщений. Также BotenaGo может быть новым инструментом, используемым операторами Mirai на определенных устройствах и ходе некоторых атак. Третья теория подразумевает, что вредоносная программа еще не готова к работе, а образец ее ранней стадии разработки случайно оказался в Сети.
