Beastmode Botnet IOC

botnet IOC
Опубликовано

В период с февраля по март 2022 года FortiGuard Labs заметила, что DDoS-кампания Beastmode (она же B3astmode) на базе Mirai агрессивно обновляет свой арсенал эксплойтов. В течение месяца было добавлено пять новых эксплойтов, три из которых нацелены на различные модели маршрутизаторов TOTOLINK.

Включение эксплойтов для TOTOLINK особенно примечательно, поскольку они были добавлены всего через неделю после публикации кодов эксплойтов на GitHub. Ранее мы сообщали о кампании MANGA, которая аналогичным образом приняла код эксплойта в течение нескольких недель после его выпуска.

Быстро внедряя недавно выпущенные коды эксплойтов, угрожающие стороны могут заразить уязвимые устройства и расширить свои бот-сети до того, как будут выпущены исправления для устранения этих уязвимостей.

Компания TOTOLINK уже выпустила обновленную прошивку для затронутых моделей, и пользователям настоятельно рекомендуется обновить свои устройства.

Эксплуатация новых уязвимостей

  • CVE-2022-26210 нацелен на TOTOLINK A800R, A810R, A830R, A950RG, A3000RU и A3100R.
  • CVE-2022-26186 нацелен на TOTOLINK N600R и A7100RU.
  • CVE-2022-25075/25076/25077/25078/25079/25080/25081/25082/25083/25084 - это семейство схожих уязвимостей, направленных на маршрутизаторы TOTOLINK A810R, A830R, A860R, A950RG, A3100R, A3600R, T6 и T10.
  • CVE-2017-17215, направленная на маршрутизаторы Huawei HG532
  • CVE-2016-5674 , направленная на продукты NUUO NVRmini2, NVRsolo, Crystal Devices и NETGEAR ReadyNAS Surveillance

Indicators of Compromise 

IPv4

  • 195.133.18.119
  • 136.144.41.69

URLs

  • http://195.133.18.119/beastmode/b3astmode.86_64
  • http://195.133.18.119/beastmode/b3astmode.arm4
  • http://195.133.18.119/beastmode/b3astmode.arm5
  • http://195.133.18.119/beastmode/b3astmode.arm6
  • http://195.133.18.119/beastmode/b3astmode.arm7
  • http://195.133.18.119/beastmode/b3astmode.m68k
  • http://195.133.18.119/beastmode/b3astmode.mips
  • http://195.133.18.119/beastmode/b3astmode.mpsl
  • http://195.133.18.119/beastmode/b3astmode.ppc
  • http://195.133.18.119/beastmode/b3astmode.sh4
  • http://195.133.18.119/beastmode/b3astmode.x86

SHA256

  • 04a50c409a30cdd53036c490534ee7859b828f2b9a9dd779c6b0112b88b74708
  • 0ca74024f5b389fcfa5ee545c8a7842316c78fc53d4a9e94c34d556459a58877
  • 0d442f4327ddd254dbb2a9a243d9317313e44d4f6a6078ea1139ddd945c3f272
  • 14726d501dd489e8228af9580b4369819efb3101f6128df1a1ab0fcc8d96e797
  • 18cefe4333f5f1165c1275c956c8ae717d53818b2c5b2372144fb87d6687f0d8
  • 36a85f2704f77d7e11976541f3d77774109461e1baae984beb83064c2e34239a
  • 3d0a119b68044b841128e451d80ee41d8be9cc61f9ff9a01c3db7d3271e15655
  • 5adfd18422a37a40e6c7626b27d425a4c5a6ca45ecbc8becd690b8533d9d6c7c
  • 635569c7612278d730cb87879843de03d1ea0df4e1c70262ab50659780eace3b
  • 676b2aa6839606d49bbd2f29487e4c218e7d14dd1a9b870edcabdd11fcab9cf7
  • 9c88fa218af7fb72188a0262b3a29008fedcf3d434b90e8fa578ac8f250f5025
  • a21aa45045c0d4b0d785891b8be57496d62bc2396d01c24a34b40f3e2227ef07
  • a5cbe89bf1f3121eb2012e3c5bb5c237c613b8b615384be0f1cc92817a2f1efe
  • a6a7e46bd0e9ec67a1adec64af8fddee18ce019f731ee9cbf8341b35b2519dd9
  • b573f4d58b1fe6309b90611dd1d1030d7a3d1eb8ddb18de6dc58eefa876820fd
  • be3248d97653e8f97cb8f69af260f03b19965489478211a5565b786e9f5d3c02
  • ca8980cb3bd286e41950d78555fd070eaf2d3bebf2751cb0d12a3eff0a41f829
  • cd48523a6dced4054cce051d4dd8c06268cee375e56afbf59d724faa91c3e766
  • d799ae8a017e76d22f1f35f271ebae9168b7712dce0ce86753edabd6e5f4f0d6
  • ded30dbc39e310ebbc17a9667a14e7f0f2e08999bfc5ebd4eae5c1840b82860a
  • e7db388460d4e1f8d740018e6012af0ad785d3876a35c924db1f4982d7902db3
  • e85c3d3ed49d44b1ec3af89d730e129d68a32212e911e6431f405e201597f6ed

Похожие записи:

  1. Emotet Botnet IOCs
  2. BianLian (Hydra) Botnet IOCs
  3. RapperBot Botnet IOCs
  4. Mirai, RAR1Ransom, GuardMiner IOCs
  5. Cyclops Blink Botnet IOC
Beastmode Botnet FortiGuard Labs
Добавить комментарий