Новый ботнет нацелен на маршрутизаторы и видеорегистраторы

Внутри недавно обнаруженного ботнета скрыто необычное сообщение от его создателя: AI.NEEDS.TO.DIE.

Это вредоносное ПО, получившее от исследователей Akamai название tuxnokill, является одним из двух новых вариантов ботнета Mirai, зафиксированных в этом месяце крупными компаниями в сфере кибербезопасности, и, судя по упомянутой выше жестко запрограммированной строке, этот конкретный вариант, возможно, был написан «по старинке».

Tuxnokill и Nexcorium

На основании данных о посещениях глобальной сети ханипотов компании Akamai обнаружила, что tuxnokill распространяется через CVE-2025-29635 — уязвимость, позволяющую внедрить команду в маршрутизаторы d-link DIR-823X, которая оставалась неиспользованной в течение целого года после ее раскрытия в марте 2025 года.

Исследователи отметили, что публичный эксплойт Proof of Concept (PoC) был размещен на github и связан с раскрытием CVE, но впоследствии был удален. Используемый злоумышленником эксплойт имеет ключевые отличия, но нацелен на тот же уязвимый путь кода и запускает тот же вызов system().

Было также замечено, что тот же злоумышленник сканировал устройства TP-Link Archer AX21 через CVE-2023-1389 и маршрутизаторы ZTE ZXV10 H108L с помощью общедоступного эксплоита.

Между тем, FortiGuard Labs компании Fortinet подробно описала группу хакеров, называющей себя Nexus Team, которая атаковала цифровые видеорегистраторы (DVN) TBK через уязвимость CVE-2024-3721.

Их вредоносное ПО, называемое Nexcorium, является более изощренным. Как и tuxnokill, оно нацелено на несколько архитектур Linux.

Оно обновляет файл /etc/inittab, чтобы обеспечить перезапуск процесса в случае его остановки. Оно создает или обновляет файл /etc/rc.local, чтобы обеспечить запуск при запуске системы. Затем оно проверяет общие системные пути (например, /bin/systemctl, /usr/bin/systemctl и /etc/system/system) и создает файл службы в /etc/systemd/system/persist.service, что позволяет ему запускаться автоматически при запуске системы, пояснили исследователи.

Наконец, оно создает запланированную задачу с помощью crontab, чтобы обеспечить ее запуск после перезагрузки. И, сделав все это, оно удаляет свой исходный бинарник из текущего пути выполнения, чтобы уклониться от анализа и затруднить его.

Вредоносное ПО способно заставлять скомпрометированные устройства участвовать в DDoS-атаках с помощью различных методов. И, что интересно, оно поставляется в комплекте с эксплойтом, нацеленным на старые устройства Huawei через CVE-2017-17215.

Бесконечная проблема безопасности IoT

Обе кампании следуют хорошо известному и эффективному сценарию: использовать известные уязвимости в дешевом, не поддерживаемом и не обновленном оборудовании IoT, тайно вербовать его в ботнет, а затем использовать эти ботнеты для запуска DDoS-атак.

Исследователи Akamai отмечают, что особенно в тех случаях, когда для этих уязвимостей существуют общедоступные PoC-эксплойты, злоумышленники могут легко включить их в свои векторы атак.

К сожалению, устройства, срок поддержки которых истек, медленные циклы установки исправлений и учетные данные по умолчанию по-прежнему предоставляют операторам ботнетов легкий доступ к домашним и корпоративным сетям по всему миру.

Обе компании поделились индикаторами компрометации и правилами обнаружения.

Мы настоятельно рекомендуем организациям регулярно отслеживать информацию об уязвимостях, имеющих отношение к их инфраструктуре, и применять соответствующие исправления, обновления и меры защиты для обеспечения собственной операционной безопасности, советует Akamai.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи

Комментарии (0)