RIFT — IoT-бот, вооруженный семнадцатью эксплойтами

Среди атакуемых уязвимостей числится также брешь в плагине WordPress; конечная цель ботовода пока неизвестна.

Эксперт NewSky Security Анкит Анубхав (Ankit Anubhav) собирает информацию по новому IoT-зловреду RIFT, создатель которого использует псевдоним 666TrapGod.

Вирусописатель уже строит ботнет, нацелив свое детище как минимум на 17 уязвимостей разной давности, среди которых числится даже брешь в плагине WordPress. Некоторые из недавно добавленных эксплойт-кодов, по словам Анубхава, некачественны и, возможно, неработоспособны.

Судя по скриншоту, который эксперт выложил в Twitter, новоявленный бот в числе прочих способен атаковать следующие уязвимости:

• CVE-2018-11336 — незакрытый RCE-баг в модемах FASTGate производства Fastweb, о которой итальянского разработчика уведомили еще в мае;
• CVE-2018-10561 — обход аутентификации в GPON-роутерах Dasan Networks, который используют и другие IoT-боты;
• CVE-2018-14417 — возможность внедрения команд в консоли администрирования SoftNAS Cloud;
• CVE-2017-17215 — RCE-баг в роутерах Huawei HG532, тоже очень популярный в среде ботоводов;
• CVE-2015-2280 — возможность инъекции команд в IP-камерах AirLink101;
• CVE-2014-9094 — множественные XSS в плагине Digital Zoom Studio (DZS), позволяющем создавать видео-галереи на WordPress-сайтах;
• CVE-2008-0149 — раскрытие системной информации в наборе инструментов TUTOS, предназначенном для оптимизации коллективной работы в сфере малого и среднего бизнеса.

Как оказалось, RIFT был создан не с нуля: часть его кода позаимствована у OSIRIS (новейшей версии банковского трояна Kronos) и IoT-ботов SEFA, атакующих уязвимости в роутерах Linksys и камерах видеонаблюдения от AVTech. Исполняемый файл зловреда сжат с использованием упаковщика UPX.

RIFT #botnet has the executable packed in UPX, shares code from OSIRIS and SEFA , but still has lot of stuff packed in it which makes it interesting. The domain points to 89.46.223(.)70 which has been there since some days. Refer to @bad_packets on Dec 22 where he saw 2 vulns. pic.twitter.com/RuJhHlNeag

— Ankit Anubhav (@ankit_anubhav) December 27, 2018

Командный сервер ботнета поднят в AS-сети румынского хостинг-провайдера HostMaze, на счету которого за последние два месяца скопилось 32 записи о злоупотреблениях. А владелец сайта Abuse.ch, отслеживающий источники вредоносного ПО, внес в свою базу 15 вредоносных URL, ассоциируемых с этой AS-сетью. Все они были добавлены 21 декабря и явно связаны с ботнетом RIFT. Позднее попытки эксплуатации CVE-2015-2280 (AirLink101) были зафиксированы в Китае; запросы на доставку вредоносного кода направлялись в США и Германию.

???? BAD PACKETS DETECTED ????
Source IPs: 120.78.2.231, 119.23.68.83, 220.178.237.16
Country: ????????
User Agent: «Rift/2.0»
Method: GET
URI: (attached)

Exploit Target: AirLink101 devices (https://t.co/ogiHN6SsNM) pic.twitter.com/bRCwqgtcgV

— Bad Packets Report (@bad_packets) December 27, 2018

Какова конечная цель 666TrapGod, неизвестно. Присутствие его ботов в Сети пока малозаметно, однако их арсенал обширен, и в условиях роста числа уязвимых IoT-устройств они смогут быстро обеспечить ботоводу мощности, пригодные для проведения DDoS-атак либо майнинга криптовалюты.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля