Глобальная кампания с использованием нового вредоносного ПО, эксплуатирующего неаутентифицированные уязвимости внедрения команд в сетевых устройствах, была обнаружена в июле 2025 года. Целями атак стали маршрутизаторы DrayTek, TP-Link, Raisecom и Cisco, при этом зараженные устройства превращаются в элементы ботнета с удаленным управлением.
Описание
Исследователи кибербезопасности из Fortinet идентифицировали стелс-загрузчик, который распространяется через HTTP-запросы к веб-интерфейсам роутеров. Атака начинается с отправки специально сформированного запроса, который использует уязвимости внедрения команд в параметрах веб-страниц. После успешной эксплуатации уязвимости на устройство загружается и выполняется скрипт, который, в свою очередь, скачивает и запускает основной вредоносный модуль.
Основная нагрузка получила название "Gayfemboy" и представляет собой эволюционное развитие известного ботнета Mirai. Новая версия демонстрирует значительные улучшения в скрытности и модульности работы. Для затруднения обнаружения файлы называются в соответствии с архитектурой целевого устройства: "aalel" для AArch и "xale" для x86-64.
Инфраструктура злоумышленников использует стабильный хост для загрузки вредоносных файлов (220.158.234.135), в то время как атакующий трафик исходит из IP-адреса 87.121.84.34. Аналитики отмечают использование как HTTP, так и TFTP протоколов для доставки вредоносного кода, что обеспечивает высокую вероятность успеха даже в сетях с ограниченными исходящими соединениями.
География атак охватывает Бразилию, Мексику, США, Германию, Францию, Швейцарию, Израиль и Вьетнам, а среди целевых секторов - производственные предприятия и медиакомпании. После компрометации устройства злоумышленники получают полные привилегии root, что позволяет проводить дальнейшую разведку и перемещение по сети.
Механизм заражения демонстрирует высокую степень адаптации под различные производители. Для TP-Link Archer AX21 exploitation происходит через параметр country, который принимает произвольные shell-команды. Устройства DrayTek уязвимы через скрипт mainfunction.cgi. Во всех случаях выполняется однотипная последовательность: переход в записываемую директорию, загрузка исполняемого файла, предоставление прав на выполнение, запуск с идентификатором продукта и удаление следов компрометации.
Особенностью вредоносного ПО является постоянный мониторинг процессов через /proc/[PID]/exe для устранения конкурирующих инфекций и отладчиков, что укрепляет контроль над устройством. Для противодействия автоматическому анализу используется UPX-упаковка с модифицированным заголовком.
Обнаруженная кампания подчеркивает критическую важность проверки целостности прошивок, сегментации сетей и своевременного обновления сетевого оборудования для предотвращения подобных атак. Эксперты рекомендуют организациям проверить настройки безопасности маршрутизаторов и ограничить доступ к веб-интерфейсам управления из внешних сетей.
Индикаторы компрометации
IPv4
- 220.158.234.135
- 87.121.84.34
