Uma nova onda de ataques com o botnet Moobot foi iniciada no início de agosto e visa roteadores D-Link vulneráveis. Essa nova campanha foi descoberta por pesquisadores da Unidade 42 da Palo Alto Network.
Roteadores vulneráveis D-Link atacados por nova onda de ataques do botnet Moobot
Os pesquisadores relataram uma nova onda de ataques lançados pelo botnet Moobot que visando esses roteadores D-Link vulneráveis. Esse botnet baseado em Mirai foi documentado pela primeira vez por pesquisadores da Palo Alto Unit 42 em fevereiro de 2021, em novembro de 2021, começou a explorar uma falha crítica de injeção de comando (CVE-2021-36260) no servidor web de vários produtos Hikvision.
Agora, o MooBot ressurgiu em uma nova onda de ataques que começou em agosto, visando roteadores D-Link vulneráveis. Ele está explorando explorações antigas e novas.
Lista de vulnerabilidades exploradas
CVE-2015-2051: Vulnerabilidade de execução de comando de cabeçalho D-Link HNAP SOAPAction;
CVE-2018-6530: Vulnerabilidade de execução remota de código da interface SOAP D-Link;
CVE-2022-26258: Vulnerabilidade de execução de comando remoto D-Link;
CVE-2022-28958: Vulnerabilidade de execução de comando remoto D-Link;
De acordo com o Security Affairs, os agentes de ameaças exploraram as quatro vulnerabilidades do D-Link para obter execução remota de código e baixar um downloader MooBot de 159.203.15[.]179.
De acordo com a análise publicada pela Unidade 42, “Após a execução, as impressões do arquivo binário são habilitadas! para o console, gera processos com nomes aleatórios e apaga o arquivo executável”.
“Como variante, o MooBot herda o recurso mais significativo do Mirai – uma seção de dados com credenciais de login padrão incorporadas e configuração de botnet – mas em vez de usar a chave de criptografia do Mirai, 0xDEADBEEF, o MooBot criptografa seus dados com 0x22”.
No momento da análise, o servidor C2 estava offline. A análise do código revelou que o bot MooBot também enviará mensagens de pulsação para o servidor C2 e analisará comandos do C2 para iniciar um ataque DDoS em um endereço IP e número de porta específicos.
Recomendação dos pesquisadores
Os pesquisadores recomendam que os usuários de roteadores D-Link apliquem patches e atualizações quando possível. Para usuários que suspeitam que seu roteador foi comprometido, os especialistas recomendam redefinir o dispositivo, alterar a senha do administrador e instalar as atualizações mais recentes.
O relatório conclui que “As vulnerabilidades mencionadas acima têm baixa complexidade de ataque, mas um impacto crítico na segurança que pode levar à execução remota de código. Se o invasor conseguir o controle dessa maneira, ele poderá aproveitar ao incluir os dispositivos recém-comprometidos em seu botnet para realizar outros ataques, como DDoS.