Бот-сеть Hoaxcalls IoT (интернета вещей) расширила список целевых устройств и добавила новые возможности распределенного отказа в обслуживании (DDoS).
Поставщик услуг защиты от DDoS Radware предупреждает, что ботнет Hoaxcalls Internet of Things (IoT) расширил список целевых устройств,
эксперты также отметили, что операторы внедрили новые возможности распределенного отказа в обслуживании (DDoS).
Hoaxcalls были впервые обнаружены в апреле исследователями из Palo Alto Networks, они заимствовали код из ботнетов Tsunami и Gafgyt и нацелены на CVE-2020-5722 и CVE-2020-8515 недостатков, соответственно затрагивающих устройства серии Grandstream UCM6200 и маршрутизаторы Draytek Vigor.
Обе уязвимости были оценены как критические (то есть оценка CVSS v3.1 9,8 из 10), поскольку их легко использовать.
Первоначально ботнет был разработан для запуска DDoS-атак с использованием потоков UDP, DNS и HEX.
Теперь исследователи безопасности из Radware сообщили, что обнаружили новую версию ботнета Hoaxcalls, нацеленную на исправленную проблему в ZyXEL Cloud CNM SecuManager. Эксперты также заметили, что в новом варианте реализовано 16 новых возможностей DDoS.
«20 апреля 2020 года
Исследователи Radware обнаружили новый вариант распространения ботнета Hoaxcalls с помощью незащищенной уязвимости, влияющей на ZyXEL Cloud CNM SecuManager ». отчет, опубликованный Radware. «Серия уязвимостей, влияющих на ZyXEL, была полностью опубликована Пьером Кимом 9 марта 2020 года. В дополнение к новому вектору распространения, бот-сеть Hoaxcall также добавила 16 векторов DDoS-атак в новый образец ».
Кампании, наблюдаемые Radware, использовали несколько вариантов использование различных комбинаций эксплойтов и векторов DDoS-атак. Эксперты предполагают, что участник этих кампаний сосредоточился на поиске и использовании новых возможностей для создания бот-сети DDoS.
20 апреля эксперты раскрыли мощный вариант ботнета, распространяющегося с одного сервера, а также показали, что количество хостинговых серверов сейчас превышает 75.
«Значительное увеличение возможностей атаки по сравнению с предыдущим образцом. Образцы, обнаруженные Radware, можно найти в URLhaus.
Этот конкретный вариант распространяется только через уязвимость SQL-инъекции GrandStream UCM CVE-2020-5722. За первые 48 часов обнаружения наши датчики зафиксировали 15 уникальных IP-адресов, распространяющих вредоносное ПО с сервера, размещенного по адресу 176.123.3.96. Сегодня число серверов, размещающих вредоносные программы, выросло до 75 ». сказано в докладе.
«При первоначальном осмотре образец, по-видимому, был связан с Tsunami, но при более позднем повторном анализе образец вернул более тесную связь с Hoaxcalls».
Последний вариант, обнаруженный экспертами и отслеживаемый как XTC, расширяет список целевых устройств, включая уязвимость для проблемы в ZyXEL Cloud CNM SecuManager.
«Кампании, выполняемые актером или группой за XTC и Hoaxcalls, включают в себя несколько вариантов, использующих различные комбинации эксплойтов и векторов атак DDoS».
«Мы считаем, что группа, стоящая за этой кампанией, посвящена поиску и использованию новых эксплойтов с целью создания ботнета, который можно использовать для крупномасштабных DDoS-атак», говорят исследователи.
Предупреждение: Вся информация представлена исключительно в образовательных целях.
Ботнет Mootbot нацелен на оптоволоконные маршрутизаторы с двумя Zero-Days
Dark Nexus, новый ботнет IoT (Интернет вещей), предназначенный для широкого спектра устройств
Microsoft организует скоординированное удаление ботнета Necurs
Дополнительная информация и статьи....
