В конце октября, в период глобального нарушения соединений AWS (Amazon Web Services), исследователи FortiGuard Labs зафиксировали распространение вредоносного программного обеспечения под названием ShadowV2 через уязвимости интернета вещей. Эти инциденты затронули множество стран по всему миру и охватили семь различных отраслей. По данным экспертов, активность зловреда наблюдалась исключительно во время масштабного простоя AWS, что позволяет предположить проведение злоумышленниками пробной атаки для подготовки к будущим кампаниям.
Описание
Аналитики обнаружили попытки эксплуатации, связанные с ботнетом на базе Mirai, известным как ShadowV2. Данный вариант распространялся через множество уязвимостей, идентифицированных и заблокированных системой предотвращения вторжений (IPS). Ранее ShadowV2 уже атаковал экземпляры AWS EC2 в кампаниях, раскрытых в сентябре. Исследование показало, что зловред был разработан на основе архитектуры существующего варианта Mirai и предназначен для IoT-устройств.
Эксплуатация затрагивала продукты нескольких вендоров через IP-адрес 198[.]199[.]72[.]27. Среди уязвимостей значатся CVE-2009-2765 в DDWRT, CVE-2020-25506, CVE-2022-37055, CVE-2024-10914 и CVE-2024-10915 в D-Link, CVE-2023-52163 в DigiEver, CVE-2024-3721 в TBK и CVE-2024-53375 в TP-Link. География атак распространилась на страны Америки, Европы, Африки, Азии и Океании, включая США, Канаду, Бразилию, Великобританию, Францию, Россию, Китай, Японию и Австралию. Скомпрометированные отрасли включают технологии, розничную торговлю и гостиничный бизнес, производство, управляемых поставщиков услуг безопасности, государственный сектор, телекоммуникации и образование.
Злоумышленники распространяли загрузочный скрипт binary.sh, используя множество уязвимостей, и доставляли вредоносное ПО ShadowV2 с префиксом "shadow" с IP-адреса 81[.]88[.]18[.]108. ShadowV2 похож по структуре на классический вариант Mirai под названием LZRD. Он инициализирует XOR-закодированную конфигурацию и свои методы атак, после чего подключается к серверу управления и контроля (C2) для получения команд, запускающих DDoS-атаки. Анализ проводился на основе сборки для x86-64 с именем shadow.x86_64.
Зловред декодирует свои конфигурации с использованием однобайтового ключа 0x22. Раскодированные конфигурации содержат пути файловой системы, HTTP-заголовки и строки User-Agent. ShadowV2 сначала пытается разрешить домен сервера C2 silverpath[.]shadowstresser[.]info, который должен соответствовать IP-адресу 81[.]88[.]18[.]108. Если домен не может быть разрешен через DNS-сервер 8.8.8.8, зловред переходит к прямому подключению к жестко заданному IP-адресу сервера C2.
При выполнении вредоносная программа отображает строку ShadowV2 Build v1.0.0 IoT version. Исходя из этой строки, аналитики предполагают, что это может быть первая версия ShadowV2, разработанная для IoT-устройств. Зловред инициализирует свои методы DDoS-атак и выделяет таблицу атакующих функций. ShadowV2 поддерживает два транспортных протокола (UDP и TCP) и прикладной протокол HTTP. Реализованные методы атак включают UDP-флуд, несколько TCP-флудов и HTTP-флуды. Вредоносная программа сопоставляет эти поведения с внутренними именами функций, такими как UDP, UDP Plain, UDP Generic, UDP Custom, TCP, TCP SYN, TCP Generic, TCP ACK, TCP ACK STOMP и HTTP. Она прослушивает команды от своего сервера C2 и запускает DDoS-атаки с использованием соответствующего идентификатора метода атаки и параметров.
Анализ ShadowV2 показывает, что IoT-устройства остаются слабым звеном в общей кибербезопасности. Эволюция ShadowV2 предполагает стратегический сдвиг в поведении злоумышленников в сторону целевых атак на среды интернета вещей. Это подчеркивает важность своевременного обновления прошивок, внедрения надежных практик безопасности и непрерывного мониторинга соответствующей информации об угрозах для усиления общей осведомленности о ситуации и обеспечения устойчивости экосистемы. Эксперты рекомендуют организациям уделять особое внимание защите IoT-инфраструктуры, поскольку подобные тестовые запуски часто предшествуют более масштабным и скоординированным атакам.
Индикаторы компрометации
IPv4
- 198.199.72.27
- 81.88.18.108
Domains
- silverpath.shadowstresser.info
SHA256
- 0408d57c5ded5c79bf1c5b15dfde95547e17b81214dfc84538edcdbef4e61ffe
- 22aa3c64c700f44b46f4b70ef79879d449cc42da9d1fe7bad66b3259b8b30518
- 24ad77ed7fa9079c21357639b04a526ccc4767d2beddbd03074f3b2ef5db1b69
- 499a9490102cc55e94f6a9c304eea86bbe968cff36b9ac4a8b7ff866b224739f
- 5b5daeaa4a7e89f4a0422083968d44fdfe80e9a32f25a90bf023bca5b88d1e30
- 6f1a5f394c57724a0f1ea517ae0f87f4724898154686e7bf64c6738f0c0fb7b6
- 7dfbf8cea45380cf936ffdac18c15ad91996d61add606684b0c30625c471ce6a
- 80ee2bf90545c0d539a45aa4817d0342ff6e79833e788094793b95f2221a3834
- bb326e55eb712b6856ee7741357292789d1800d3c5a6be4f80e0cb1320f4df74
- c0ac4e89e48e854b5ddbaef6b524e94cc86a76be0a7a8538bd3f8ea090d17fc2
- c62f8130ef0b47172bc5ec3634b9d5d18dbb93f5b7e82265052b30d7e573eef3
- cb42ae74216d81e87ae0fd51faf939b43655fe0be6740ac72414aeb4cf1fecf2
- dfaf34b7879d1a6edd46d33e9b3ef07d51121026b8d883fdf8aced630eda2f83
