Uma nova onda de ataques com o botnet Moobot foi iniciada no início de agosto e visa roteadores D-Link vulneráveis. Essa nova campanha foi descoberta por pesquisadores da Unidade 42 da Palo Alto Network.
Roteadores vulneráveis D-Link atacados por nova onda de ataques do botnet Moobot
Os pesquisadores relataram uma nova onda de ataques lançados pelo botnet Moobot que visando esses roteadores D-Link vulneráveis. Esse botnet baseado em Mirai foi documentado pela primeira vez por pesquisadores da Palo Alto Unit 42 em fevereiro de 2021, em novembro de 2021, começou a explorar uma falha crítica de injeção de comando (CVE-2021-36260) no servidor web de vários produtos Hikvision.
Agora, o MooBot ressurgiu em uma nova onda de ataques que começou em agosto, visando roteadores D-Link vulneráveis. Ele está explorando explorações antigas e novas.
Lista de vulnerabilidades exploradas
CVE-2015-2051: Vulnerabilidade de execução de comando de cabeçalho D-Link HNAP SOAPAction;
CVE-2018-6530: Vulnerabilidade de execução remota de código da interface SOAP D-Link;
CVE-2022-26258: Vulnerabilidade de execução de comando remoto D-Link;
CVE-2022-28958: Vulnerabilidade de execução de comando remoto D-Link;
Notícias Relacionadas
Alerta cibernético
Malware IOCONTROL mira dispositivos IoT e SCADA com foco crítico em Linux
O malware IOCONTROL, vinculado ao Irã, visa dispositivos IoT e SCADA em Israel e EUA. Com capacidade modular, ele atinge infraestruturas críticas e utiliza protocolos como MQTT para ocultar tráfego malicioso.
Malware linux
Novo malware Pumakit atinge Linux com técnicas furtivas de rootkit
Descoberto um novo rootkit para Linux chamado Pumakit, que usa técnicas avançadas para ocultar sua presença. Com múltiplos componentes, o malware visa escalonamento de privilégios e espionagem.
De acordo com o Security Affairs, os agentes de ameaças exploraram as quatro vulnerabilidades do D-Link para obter execução remota de código e baixar um downloader MooBot de 159.203.15[.]179.
De acordo com a análise publicada pela Unidade 42, “Após a execução, as impressões do arquivo binário são habilitadas! para o console, gera processos com nomes aleatórios e apaga o arquivo executável”.
“Como variante, o MooBot herda o recurso mais significativo do Mirai – uma seção de dados com credenciais de login padrão incorporadas e configuração de botnet – mas em vez de usar a chave de criptografia do Mirai, 0xDEADBEEF, o MooBot criptografa seus dados com 0x22”.
No momento da análise, o servidor C2 estava offline. A análise do código revelou que o bot MooBot também enviará mensagens de pulsação para o servidor C2 e analisará comandos do C2 para iniciar um ataque DDoS em um endereço IP e número de porta específicos.
Recomendação dos pesquisadores
Os pesquisadores recomendam que os usuários de roteadores D-Link apliquem patches e atualizações quando possível. Para usuários que suspeitam que seu roteador foi comprometido, os especialistas recomendam redefinir o dispositivo, alterar a senha do administrador e instalar as atualizações mais recentes.
O relatório conclui que “As vulnerabilidades mencionadas acima têm baixa complexidade de ataque, mas um impacto crítico na segurança que pode levar à execução remota de código. Se o invasor conseguir o controle dessa maneira, ele poderá aproveitar ao incluir os dispositivos recém-comprometidos em seu botnet para realizar outros ataques, como DDoS.
