В сентябре 2023 года команда FortiGuard Labs заметила, что DDoS-кампания IZ1H9 Mirai-базируется на агрессивном обновлении арсенала эксплойтов. В этот вариант были включены 13 полезных нагрузок, включая устройства D-Link, беспроводной маршрутизатор Netis, Sunhillo SureLine, IP-камеру Geutebruck, Yealink Device Management, устройства Zyxel, маршрутизаторы TP-Link Archer, Korenix Jetwave и TOTOLINK.
По количеству срабатываний, зафиксированных нашими сигнатурами IPS, видно, что пик эксплуатации пришелся на 6 сентября, причем количество срабатываний варьировалось от тысяч до десятков тысяч. Это свидетельствует о способности кампании заражать уязвимые устройства и значительно расширять свою бот-сеть за счет оперативного использования недавно выпущенного кода эксплойтов, включающего множество CVE.
Indicators of Compromise
IPv4
- 194.180.48.100
- 2.56.59.215
- 212.192.241.72
SHA256
- 0aa9836174f231074d4d55c819f6f1570a24bc3ed4d9dd5667a04664acb57147
- 1e15d7cd0b4682a86620b3046548bdf3f39c969324a85755216c2a526d784c0d
- 34628bcfc40218095c65678b52ce13cea4904ce966d0fd47e691c3cb039871ec
- 737ba9e84b5166134d491193be3305afa273733c35c028114d8b1f092940b9a3
- 7b9dce89619c16ac7d2e128749ad92444fe33654792a8b9ed2a3bce1fee82e6a
- 8d07f15dd7d055b16d50cb271995b768fdd3ca6be121f6a35b61b917dfa33938
- afc176f7b692a5ff93c7c66eee4941acf1b886ee9f4c070faf043b16f7e65c11
- b523ea86ebfd666153078593476ca9bd069d6f37fa7846af9e53b1e01c977a17
- b5daf57827ced323a39261a7e19f5551071b5095f0973f1397d5e4c2fcc39930
- c8cf29e56760c50fa815a0c1c14c17641f01b9c6a4aed3e0517e2ca722238f63
- df9ee47c783fbe8c3301ed519033fc92b05d7fd272d35c64b424a7e46c6da43b