Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Среди атакуемых уязвимостей числится также брешь в плагине WordPress; конечная цель ботовода пока неизвестна.
Эксперт NewSky Security Анкит Анубхав (Ankit Anubhav) собирает информацию по новому IoT-зловреду RIFT, создатель которого использует псевдоним 666TrapGod.
Вирусописатель уже строит ботнет, нацелив свое детище как минимум на 17 уязвимостей разной давности, среди которых числится даже брешь в плагине WordPress. Некоторые из недавно добавленных эксплойт-кодов, по словам Анубхава, некачественны и, возможно, неработоспособны.
Судя по скриншоту, который эксперт выложил в Twitter, новоявленный бот в числе прочих способен атаковать следующие уязвимости:
Как оказалось, RIFT был создан не с нуля: часть его кода позаимствована у OSIRIS (новейшей версии банковского трояна Kronos) и IoT-ботов SEFA, атакующих уязвимости в роутерах Linksys и камерах видеонаблюдения от AVTech. Исполняемый файл зловреда сжат с использованием упаковщика UPX.
RIFT #botnet has the executable packed in UPX, shares code from OSIRIS and SEFA , but still has lot of stuff packed in it which makes it interesting. The domain points to 89.46.223(.)70 which has been there since some days. Refer to @bad_packets on Dec 22 where he saw 2 vulns. pic.twitter.com/RuJhHlNeag
— Ankit Anubhav (@ankit_anubhav) December 27, 2018
Командный сервер ботнета поднят в AS-сети румынского хостинг-провайдера HostMaze, на счету которого за последние два месяца скопилось 32 записи о злоупотреблениях. А владелец сайта Abuse.ch, отслеживающий источники вредоносного ПО, внес в свою базу 15 вредоносных URL, ассоциируемых с этой AS-сетью. Все они были добавлены 21 декабря и явно связаны с ботнетом RIFT. Позднее попытки эксплуатации CVE-2015-2280 (AirLink101) были зафиксированы в Китае; запросы на доставку вредоносного кода направлялись в США и Германию.
???? BAD PACKETS DETECTED ????
Source IPs: 120.78.2.231, 119.23.68.83, 220.178.237.16
Country: ????????
User Agent: «Rift/2.0»
Method: GET
URI: (attached)Exploit Target: AirLink101 devices (https://t.co/ogiHN6SsNM) pic.twitter.com/bRCwqgtcgV
— Bad Packets Report (@bad_packets) December 27, 2018
Какова конечная цель 666TrapGod, неизвестно. Присутствие его ботов в Сети пока малозаметно, однако их арсенал обширен, и в условиях роста числа уязвимых IoT-устройств они смогут быстро обеспечить ботоводу мощности, пригодные для проведения DDoS-атак либо майнинга криптовалюты.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |