نوع جدیدی از بات نت بدنام Mirai پیدا شده است که از چندین آسیب پذیری امنیتی برای انتشار خود به دستگاه های لینوکس و اینترنت اشیا استفاده می کند.
در نیمه دوم سال 2022 مشاهده شد، نسخه جدید توسط Palo Alto Networks Unit 42 V3G4 دوبله شد که سه کمپین مختلف را شناسایی کرد که احتمالاً توسط یک عامل تهدید انجام شده است.
بیشتر بخوانید
محققان واحد 42 میگویند: «هنگامی که دستگاههای آسیبپذیر به خطر بیفتند، کاملاً توسط مهاجمان کنترل میشوند و بخشی از باتنت میشوند». عامل تهدید این توانایی را دارد که از این دستگاه ها برای انجام حملات بیشتر، مانند حملات انکار سرویس توزیع شده (DDoS) استفاده کند.
این حملات عمدتاً سرورهای افشا شده و دستگاههای شبکهای که لینوکس را اجرا میکنند، با تسلیحات دشمن به 13 نقص که میتواند منجر به اجرای کد از راه دور (RCE) شود، مشخص میکند.
برخی از ایرادات قابل توجه مربوط به نقص های مهم در Atlassian Confluence Server و Data Center، روترهای DrayTek Vigor، Airspan AirSpot و دوربین های IP Geutebruck و سایر موارد است. قدیمی ترین نقص در فهرست CVE-2012-4869 است، یک باگ RCE در FreePBX.
پس از یک مصالحه موفقیت آمیز، بار بات نت از یک سرور راه دور با استفاده از ابزارهای wget و cURL بازیابی می شود.
باتنت، علاوه بر تحلیل اینکه آیا قبلاً روی دستگاه آلوده اجرا میشود، اقداماتی را برای خاتمه دادن به سایر باتنتهای رقیب مانند Mozi، Okami و Yakuza انجام میدهد.
V3G4 همچنین مجموعهای از اعتبارنامههای ورود به سیستم پیشفرض یا ضعیف را بستهبندی میکند که از آنها برای انجام حملات brute-force از طریق Telnet/SSH و تکثیر در ماشینهای دیگر استفاده میکند.
همچنین با یک سرور فرمان و کنترل تماس برقرار می کند تا منتظر دستورات برای راه اندازی حملات DDoS علیه اهداف از طریق پروتکل های UDP، TCP و HTTP باشد.
محققان میگویند: «آسیبپذیریهای ذکر شده در بالا پیچیدگی حمله کمتری نسبت به انواع مشاهدهشده قبلی دارند، اما تأثیر امنیتی مهمی را حفظ میکنند که میتواند منجر به اجرای کد از راه دور شود».
برای جلوگیری از چنین حملاتی، توصیه میشود که کاربران وصلهها و بهروزرسانیهای لازم را در زمان و زمانی که قابل اجرا هستند اعمال کنند و دستگاهها را با رمزهای عبور قوی ایمن کنند.
ارسال نظر