Главная страница » IOC
0
6 месяцев
IOC

Corona Mirai Botnet IOCs

botnet

Команда по безопасности и интеллектуальному реагированию Akamai (SIRT) обнаружила ботнет-кампанию, которая использует ряд ранее эксплуатированных уязвимостей, а также недавно обнаруженную уязвимость нулевого дня. Одна из уязвимостей, CVE-2024-7029, найдена в функции яркости камер видеонаблюдения AVTECH и позволяет удаленно выполнить код. Ботнет распространяет вариант вируса Mirai, который использует строки, связанные с COVID-19.

Corona Mirai Botnet

Уязвимость CVE-2024-7029 позволяет инъекцию команды в яркость устройств IP-камер AVTECH, что приводит к удаленному выполнению кода. Эта уязвимость была обнаружена исследователем Алиной Элиовичем. Кампания ботнета также нацелена на другие уязвимости, включая уязвимости AVTECH, Hadoop YARN RCE, CVE-2014-8361 и CVE-2017-17215. Злоумышленники стараются использовать старые уязвимости, чтобы достичь своих злонамеренных целей.

Уязвимость CVE-2024-7029 затрагивает устройства IP-камер AVTECH с прошивкой AVM1203 до FullImg-1023-1007-1011-1009 включительно. Хотя эти модели уже не производятся, они все еще используются по всему миру, включая объекты критической инфраструктуры.

Эта уязвимость была активной с декабря 2023 года, а первая кампания началась в марте 2024 года. Злоумышленники используют ее для распространения варианта вируса Mirai, в том числе с именами строк, связанными с COVID-19. После успешной эксплуатации уязвимости вредоносная программа Mirai подключается к различным хостам, используя Telnet по портам 23, 2323 и 37215.

Indicators of Compromise

IPv4

  • 147.78.103.177
  • 185.216.70.142
  • 185.216.70.37
  • 185.216.70.79
  • 45.66.231.148
  • 74.50.81.158
  • 93.123.39.111
  • 93.123.39.173
  • 93.123.39.72
  • 93.123.39.87
  • 93.123.85.213
  • 94.156.71.74
  • 94.156.8.185

SHA256

  • 06b1f09a62204472581e6aec381f96014bb6cc3fc1a9cef38bbcfe88bd82e499
  • 0a566c39ecbc4107f954cb3e5e240ccaf0018dfac9b5062b4db7971fb3d9f413
  • 135264de24d499877e95673b9cca737e488042813f41fef7817728a704323fe2
  • 15a1d52c529d314bb2b5fa8b8bd6c6a496609a283dd0e78e595c929e720d1b5b
  • 22553be649f76a060ebbdfd410e295b66803e9c49d23369a726be2c5a25733ab
  • 25945c4fe38ed2008f027bd1484b89867b23528c738812d317ddf57f48666b91
  • 2d7351aa765bb2feed9536cc392b2013361c193e99841c5b56591d988bd4b582
  • 372eefdc4bf9f4a4382db2762fcf9a9db559c9d4fff2ee5f5cf5362418caaa92
  • 3995a7e7eb8eeafb0b6da2c3813e61d11993a820d478c87809136de79d8f8280
  • 40d8f662c187b53fd6fdeb70db9eb262b707e557d3fa4e5e4eacaeaa03ac45f2
  • 4826b0194fbd924aa57b9c4ab1e017f0f45f547189374b0ea761d415fa4285ff
  • 4f50d318688c80f08eb7fad6f8788cae459c3420b3b9eb566f936edd7a780ae1
  • 5d58f0fa54784e9c90825cba9e2052f691cdcfe85b0796a6379982832563090d
  • 5e264cb009c4d84b6180e47b9ceda3af8897b17b88fccc9c2914706d66abd1d1
  • 6ad5984bc9af7af6962a080bbb1a35bb56e8671c4b9c1d44e88da5a3f6b9aa82
  • 774947944ea370592a30478bb3f26081799f7d7df975a6735e620d3442e7803b
  • 8ac82a770cffbbc8fba73554d7caa117ef6d37ffee468665b95bc406449f91b5
  • 947f517d3b833cc046b2ea0540aad199b7777fb03057122fb0b618828abdc212
  • 9e9e481bb448438572c2695469c85f773ddcd952025e45bee33bbfce2531c656
  • b0f7ef937d77061515907c54967a44da3701e0d2af143164bbf44bb4fc6f26af
  • c0ae1eb249705f61d45ca747c91c02a411557a28792f4064c1d647abb580bc10
  • c15bbfb85bfd8305fad8cc0e0d06cbe825e1e6fc6d8dbe5a8d1ac4243bd77d0c
  • cfcae524309a220a48327c50bf32bf5ed3aed5698855b5da9f1ae932fb2df90c
  • e82192fbe00bc7205abe786155bbfc0548f5c6ee9819a581e965526674f3cc57
  • f4bf61fc335db4f3e7d7d89b534bc1e6ead66a51938e119ea340fe95039935e3
Комментарии: 0
Похожие записи
0
18 часов
IOC

Ballista - новый IoT-ботнет, нацеленный на тысячи маршрутизаторов TP-Link Archer

botnet
В течение последних нескольких лет крупные IoT-ботнеты, такие как Mirai и Mozi, показали, насколько легко эксплуатировать маршрутизаторы. Изначально уязвимости редко обновляются, а производители маршрутизаторов