Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Обнаружен «RustoBot»: ботнет для устройств TOTOLINK

9
2 мин
Компания FortiGuard Labs сообщила о наличии нового ботнета, получившего название «RustoBot». Этот вредоносный софт написан на языке программирования Rust и нацелен на устройства TOTOLINK, используя уязвимости в CGI-интерфейсе. «RustoBot» активно использует уязвимости в скрипте cstecgi.cgi, который управляет вводом данных пользователем и изменениями конфигурации на маршрутизаторах TOTOLINK. В частности, ботнет использует недостатки ввода команд, связанные с функциями: В ходе анализа также была выявлена новая уязвимость CVE-2024-12987, затрагивающая устройства DrayTek, и демонстрирующая скоординированную схему атак в таких странах, как Япония, Тайвань, Вьетнам и Мексика, преимущественно в технологическом секторе. Анализ версии «RustoBot» для архитектуры x86 показал, что вредоносное ПО распространяется через различные скрипты-загрузчики, используя команды wget и tftp. Ботнет поддерживает множество архитектур, включая: Несмотря на это, большинство атак сосредоточены на архитектуре mpsl, ра
Оглавление

Компания FortiGuard Labs сообщила о наличии нового ботнета, получившего название «RustoBot». Этот вредоносный софт написан на языке программирования Rust и нацелен на устройства TOTOLINK, используя уязвимости в CGI-интерфейсе.

Атаки на устройства TOTOLINK

«RustoBot» активно использует уязвимости в скрипте cstecgi.cgi, который управляет вводом данных пользователем и изменениями конфигурации на маршрутизаторах TOTOLINK. В частности, ботнет использует недостатки ввода команд, связанные с функциями:

  • setUpgradeFW (CVE-2022-26210)
  • pingCheck (CVE-2022-26187)

Анализ уязвимостей

В ходе анализа также была выявлена новая уязвимость CVE-2024-12987, затрагивающая устройства DrayTek, и демонстрирующая скоординированную схему атак в таких странах, как Япония, Тайвань, Вьетнам и Мексика, преимущественно в технологическом секторе.

Технические характеристики «RustoBot»

Анализ версии «RustoBot» для архитектуры x86 показал, что вредоносное ПО распространяется через различные скрипты-загрузчики, используя команды wget и tftp. Ботнет поддерживает множество архитектур, включая:

  • arm5
  • arm6
  • arm7
  • mips
  • mpsl

Несмотря на это, большинство атак сосредоточены на архитектуре mpsl, распространенной в устройствах TOTOLINK. На том же сервере также был обнаружен вариант для архитектуры x86.

Методы заражения и атаки

«RustoBot» использует вредоносное поведение, извлекая смещения функций системного API из глобальной таблицы смещений (GOT) и выполняя их. Процесс декодирования включает манипуляции с константами и использование побитовых операций. Его основные действия включают:

  • Доступ к домену сервера управления (C2)
  • Выполнение распределённых атак типа «отказ в обслуживании» (DDoS)

Сначала бот получает общедоступный IP-адрес своей цели с помощью DNS-over-HTTPS (DoH), что маскирует его трафик среди обычных HTTPS-запросов. После подключения «RustoBot» получает инструкции с командами для DDoS-атаки, способной использовать три различных протокола:

  • Необработанный IP
  • TCP
  • UDP

Выводы

Использование Интернета вещей и сетевых устройств говорит о значительном пробеле в безопасности этих конечных точек, что подчеркивает необходимость усовершенствованных мер мониторинга и аутентификации для уменьшения уязвимостей и эффективной борьбы с внедрением вредоносных программ.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Обнаружен "RustoBot": ботнет для устройств TOTOLINK".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются