Компания Trend Micro обнаружила IoT-ботнет, который совершает масштабные распределенные атаки типа «отказ в обслуживании» (DDoS). Атаки направлены на Японию и другие страны, включая крупные японские корпорации и банки.
Описание
Вредоносные программы, использованные для заражения устройств IoT, основаны на Mirai и Bashlite (известны также как Gafgyt и Lizkebab). Уязвимости удаленного выполнения кода (RCE) или слабые пароли используются для заражения устройств, которые затем подключаются к командно-контрольному серверу ботнета. Зараженные устройства могут быть использованы для участия в DDoS-атаках и как прокси-серверы.
Ботнет может выполнить различные команды с помощью текстовых сообщений. Некоторые из команд включают DDoS-атаки с использованием TCP- и UDP-соединений, атаки SYN Flood и ACK Flood, атаку с использованием протокола STOMP, взаимодействие с прокси-серверами SOCKS и многие другие. Вредоносная программа также может обновлять свой код выполнения и дезактивировать сторожевой таймер, который предотвращает перезагрузку устройства при высокой нагрузке. Она также злоупотребляет командой iptables в системах Linux для обмана обнаружения заражения и манипулирования пакетами, используемыми в DDoS-атаках.
Trend Micro считает, что эта бот-сеть направлена на Японию, потому что многие атаки были направлены на японские организации. Однако точная связь между командами атаки и бот-сетью пока не подтверждена. Временные сбои в работе веб-сервисов многих организаций, ставших объектами атак, подтверждают масштаб и вредоносную активность этой бот-сети. Trend Micro продолжает следить за активностью ботнета и совместно работает с органами правопорядка, чтобы предотвратить дальнейшие атаки.
Indicators of Compromise
IPv4
- 156.253.250.201
- 194.50.16.15
- 92.249.48.205
SHA256
- 0cffa89872b6fda2dd813bde128763c77280e663a8f73b3c1c5fb76bc7355cd1
- 1bba9d9ca796b61828ff9866f0c7a8326e5d34eda6bd20d790fab846091e5d07
- 32bc52b263c6d40077eeaf4e2c105c91fdfb3eb859b1d11470b5a2087a39bcee
- 371204521df08047c17cc2934c50c0ffec48b4cde93dd19a4495dcfc671a3060
- 405491255ff73ddfb1dd2a1859347dd00a3ce05bc681693fc7cd95fc11717a5a
- 548d1c8de71f5444228e2c1f031c540b0e08781e332f46a5d21e564180c81b6d
- 620636c1b8ecdde20b33a572bc79b2f2b9a212e063bf17a61e9e294adc5eb857
- 63e91c3ddf7c808008b2bdef26d56b110b6b4b0b23c6e470045564864c44143e
- aebe831a4ab5dee97209ecc80a3a9728dae38dd8eb0cdc744bf26ff51baa6998
- be2d34d170e8fc4956464f36c36c93dbeaa2957c0ed4139e1d06a5693c3f8b25
- d1585e0acc839200b095c76833d0c85fdc95df3894a18662b508f734075b5297
