Последний вариант ботнета Mirai использует три новых эксплойта

Последний вариант ботнета Mirai использует три новых эксплойта

Последний вариант ботнета Mirai использует три новых эксплойта

Специалисты Fortinet сообщают о появлении нового варианта ботнета Mirai, получившего имя «Wicked Mirai» из-за отдельных строк в коде. Он использует по крайней мере три новых эксплойта в сравнении с прошлой версией, а также устанавливает нового бота.

«Наша команда отметила появление все новых вариантов ботнета Mirai, они появляются благодаря утекшему два года назад исходному коду», — говорится в опубликованном Fortinet отчете.

«Некоторые из новых вариант серьезно модифицированы — добавлены возможности организации вредоносных прокси или майнинга криптовалют. Другие интегрировали несколько эксплойтов, которые эксплуатируют как известные, так и неизвестные бреши. Именно таким является новый вариант, которому мы дали имя Wicked Mirai».

Fortinet полагает, что за новым вариантом ботнета стоит тот же киберпреступник (либо группа киберпреступников), который создал и другие модификации вредоноса. Wicked Mirai сканирует порты 8080, 8443, 80 и 81, чтобы инициировать SYN-подключение к IoT-устройствам.

После установления соединения ботнет будет пытаться использовать одну из уязвимостей и загрузить пейлоад в систему. Для этого будет использоваться системный вызов write().

Исследователи обнаружили, что применяемый эксплойт будет зависеть от того порта, к которому вредоносу удалось подключиться. Ниже приводим список устройств, которые атакует Wicked Mirai:

  • Port 8080: Маршрутизаторы Netgear DGN1000 и DGN2200 v1 (также атакуются ботнетом Reaper);
  • Port 81: CCTV-DVR Удаленное выполнение кода;
  • Port 8443: Netgear R7000 и R6400 инъекция команд (CVE-2016-6277);
  • Port 80: Invoker-шелл на скомпрометированных веб-серверах.

Анализ ботнета также выявил наличие строки SoraLOADER, которая, как полагают специалисты, отвечает за распространение ботнета Sora. Однако дальнейшее исследование показало, что Wicked Mirai пытается загрузить другой ботнет — Owari Mirai.

Вредоносная составляющая загружается с домена hxxp://185[.]246[.]152[.]173/exploit/owari.{extension}.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Обновление WinAppSDK сломало механизм деинсталляции в Windows 10

C 12 ноября ряд пользователей Windows 10 столкнулись с проблемой обновления и деинсталляции пакетных приложений вроде Microsoft Teams. Microsoft подтвердила наличие бага и отозвала обновление WinAppSDK.

Судя по всему, проблема вызвана пакетом WinAppSDK версии 1.6.2, которая автоматом установилась в системы пользователей после инсталляции приложения, разработанного с использованием Win App SDK.

На затронутых устройствах, работающих под управлением Windows 10 22H2, выводилась ошибка «Something happened on our end» в разделе «Загрузки» Microsoft Store.

«Если вы системный администратор и пытаетесь управлять приложениями через PowerShell с помощью команды “Get-AppxPackage“, система может выдать вам ошибку “Deployment failed with HRESULT: 0x80073CFA“», — объясняет Microsoft.

«Вы также можете столкнуться с проблемами обновления или переустановки Microsoft Teams и других сторонних приложений».

Корпорация пока отозвала проблемную версию WinAppSDK 1.6.2. Один из разработчиков Майк Кридер уточнил, что фикс стоит ждать с выходом WinAppSDK 1.6.3.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru