______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

RIFT — IoT-бот, вооруженный семнадцатью эксплойтами

Эксперт NewSky Security Анкит Анубхав (Ankit Anubhav) собирает информацию по новому IoT-зловреду RIFT, создатель которого использует псевдоним 666TrapGod.

Вирусописатель уже строит ботнет, нацелив свое детище как минимум на 17 уязвимостей разной давности, среди которых числится даже брешь в плагине WordPress. Некоторые из недавно добавленных эксплойт-кодов, по словам Анубхава, некачественны и, возможно, неработоспособны.

Судя по скриншоту, который эксперт выложил в Twitter, новоявленный бот в числе прочих способен атаковать следующие уязвимости:

  • CVE-2018-11336 — незакрытый RCE-баг в модемах FASTGate производства Fastweb, о которой итальянского разработчика уведомили еще в мае;
  • CVE-2018-10561 — обход аутентификации в GPON-роутерах Dasan Networks, который используют и другие IoT-боты;
  • CVE-2018-14417 — возможность внедрения команд в консоли администрирования SoftNAS Cloud;
  • CVE-2017-17215 — RCE-баг в роутерах Huawei HG532, тоже очень популярный в среде ботоводов;
  • CVE-2015-2280 — возможность инъекции команд в IP-камерах AirLink101;
  • CVE-2014-9094 — множественные XSS в плагине Digital Zoom Studio (DZS), позволяющем создавать видео-галереи на WordPress-сайтах;
  • CVE-2008-0149 — раскрытие системной информации в наборе инструментов TUTOS, предназначенном для оптимизации коллективной работы в сфере малого и среднего бизнеса.

Как оказалось, RIFT был создан не с нуля: часть его кода позаимствована у OSIRIS(новейшей версии банковского трояна Kronos) и IoT-ботов SEFA, атакующихуязвимости в роутерах Linksys и камерах видеонаблюдения от AVTech. Исполняемый файл зловреда сжат с использованием упаковщика UPX.

Командный сервер ботнета поднят в AS-сети румынского хостинг-провайдера HostMaze, на счету которого за последние два месяца скопилось 32 записи о злоупотреблениях. А владелец сайта Abuse.ch, отслеживающий источники вредоносного ПО, внес в свою базу 15 вредоносных URL, ассоциируемых с этой AS-сетью. Все они были добавлены 21 декабря и явно связаны с ботнетом RIFT.

Позднее попытки эксплуатации CVE-2015-2280 (AirLink101) были зафиксированы в Китае; запросы на доставку вредоносного кода направлялись в США и Германию.

Какова конечная цель 666TrapGod, неизвестно. Присутствие его ботов в Сети пока малозаметно, однако их арсенал обширен, и в условиях роста числа уязвимых IoT-устройств они смогут быстро обеспечить ботоводу мощности, пригодные для проведения DDoS-атак либо майнинга криптовалюты.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх