Nova onda de ataques do botnet Moobot visa roteadores D-Link vulneráveis

nova-onda-de-ataques-do-botnet-moobot-visa-roteadores-d-link-vulneraveis

Uma nova onda de ataques com o botnet Moobot foi iniciada no início de agosto e visa roteadores D-Link vulneráveis. Essa nova campanha foi descoberta por pesquisadores da Unidade 42 da Palo Alto Network.

Os pesquisadores relataram uma nova onda de ataques lançados pelo botnet Moobot que visando esses roteadores D-Link vulneráveis. Esse botnet baseado em Mirai foi documentado pela primeira vez por pesquisadores da Palo Alto Unit 42 em fevereiro de 2021, em novembro de 2021, começou a explorar uma falha crítica de injeção de comando (CVE-2021-36260) no servidor web de vários produtos Hikvision.

Agora, o MooBot ressurgiu em uma nova onda de ataques que começou em agosto, visando roteadores D-Link vulneráveis. Ele está explorando explorações antigas e novas.

Lista de vulnerabilidades exploradas

CVE-2015-2051: Vulnerabilidade de execução de comando de cabeçalho D-Link HNAP SOAPAction;

CVE-2018-6530: Vulnerabilidade de execução remota de código da interface SOAP D-Link;

CVE-2022-26258: Vulnerabilidade de execução de comando remoto D-Link;

CVE-2022-28958: Vulnerabilidade de execução de comando remoto D-Link;

De acordo com o Security Affairs, os agentes de ameaças exploraram as quatro vulnerabilidades do D-Link para obter execução remota de código e baixar um downloader MooBot de 159.203.15[.]179.

nova-onda-de-ataques-do-botnet-moobot-visa-roteadores-d-link-vulneraveis
Imagem: Reprodução | Security Affairs

De acordo com a análise publicada pela Unidade 42, “Após a execução, as impressões do arquivo binário são habilitadas! para o console, gera processos com nomes aleatórios e apaga o arquivo executável”.

“Como variante, o MooBot herda o recurso mais significativo do Mirai – uma seção de dados com credenciais de login padrão incorporadas e configuração de botnet – mas em vez de usar a chave de criptografia do Mirai, 0xDEADBEEF, o MooBot criptografa seus dados com 0x22”.

No momento da análise, o servidor C2 estava offline. A análise do código revelou que o bot MooBot também enviará mensagens de pulsação para o servidor C2 e analisará comandos do C2 para iniciar um ataque DDoS em um endereço IP e número de porta específicos.

Recomendação dos pesquisadores

Os pesquisadores recomendam que os usuários de roteadores D-Link apliquem patches e atualizações quando possível. Para usuários que suspeitam que seu roteador foi comprometido, os especialistas recomendam redefinir o dispositivo, alterar a senha do administrador e instalar as atualizações mais recentes.

O relatório conclui que “As vulnerabilidades mencionadas acima têm baixa complexidade de ataque, mas um impacto crítico na segurança que pode levar à execução remota de código. Se o invasor conseguir o controle dessa maneira, ele poderá aproveitar ao incluir os dispositivos recém-comprometidos em seu botnet para realizar outros ataques, como DDoS.