Вариант вредоносного ботнета Mirai, известный как MooBot, снова объявился в новой волне кибератак, которая началась в августе 2022 года. Она нацелена на уязвимые роутеры/маршрутизаторы D-Link. В ходе таких атак злоумышленники стараются эксплуатировать комбинацию новых и старых эксплойтов, сообщает издание Bleeping Computer.
Впервые ботнет MooBot был выявлен экспертами компании Fortinet еще в декабре 2021 года. Тогда он был нацелен на уязвимости в камерах Hikvision, что позволяло ему быстро распространяться и включать в свою «армию DDoS» большое количество новых устройств.
На данный момент, согласно заявлениям ИБ-специалистов из Palo Alto Network, ботнет MooBot обновил сферу своей деятельности. В соответствии с выпушенным отчётом, MooBot в настоящее время нацелен на следующие критические уязвимости в устройствах D-Link:
- CVE-2015-2051. Уязвимость D-Link HNAP SOAPAction, которая связана с выполнением команды заголовка.
- CVE-2018-6530. Уязвимость интерфейса D-Link SOAP которая связана с дистанционным выполнением кода.
- CVE-2022-26258. Уязвимость D-Link, которая связана с выполнением дистанционных команд.
- CVE-2022-28958. Уязвимость D-Link, которая связана с выполнением дистанционных команд.
Компания D-Link уже выпустила обновления безопасности для устранения этих уязвимостей, но далеко не все пользователи установили патчи, особенно последние два, о которых стало известно в марте и мае 2022 года.
В Palo Alto Network отмечают, что захваченные ботнетом MooBot устройства D-Link участвуют в направленных DDoS-атаках на различные цели, в зависимости от того, чего хотят добиться операторы MooBot.
«Пользователи скомпрометированных устройств D-Link могут заметить снижение скорости интернета, периодические подвисания, перегрев роутера или необъяснимые изменения конфигурации DNS — всё это распространенные признаки заражения ботнетом.
Оптимальный способ не столкнуться с ботнетом MooBot — это установить доступные обновления прошивки на маршрутизаторе D-Link. Если вы используете старое и неподдерживаемое устройство, вам следует настроить его так, чтобы предотвратить удаленный доступ к панели администратора», – уточнили в компании Palo Alto Network.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube | Пульс.