В ноябре 2024 года команда Akamai Security Intelligence Research Team (SIRT) обнаружила активность, связанную с распространением вредоносного ПО на базе Mirai через видеорегистраторы DigiEver DS-2105 Pro. Уязвимость была обнаружена и опубликована исследователем Та-Луном Йеном и не имеет идентификатора CVE. Отчет содержит список индикаторов компрометации (IoCs) для обнаружения и защиты от этой угрозы.
Mirai Botnet
Дальнейший анализ позволил выявить ботнет под названием "Hail Cock Botnet", который активен с сентября 2024 года. Ботнет использует уязвимости Mirai, включая алгоритмы шифрования ChaCha20 и XOR, чтобы скомпрометировать устройства IoT, такие как видеорегистраторы DigiEver и устройства TP-Link через уязвимость CVE-2023-1389.
Уязвимость DigiEver DVR была обнаружена исследователем TXOne Research, который смог идентифицировать ее с помощью запросов Shodan к IP-адресам, относящимся к видеорегистраторам. Он обнаружил конечную точку /cgi-bin/cgi_main.cgi, через которую было возможно выполнение удаленного кода (RCE). Похожие попытки эксплуатации уязвимости наблюдались в honeypots.
Ботнет "Hail Cock Botnet" использует не только уязвимость DigiEver RCE, но и другие уязвимости, такие как CVE-2023-1389 в устройствах TP-Link и CVE-2018-17532 в маршрутизаторах Teltonika RUT9XX. Ботнет загружает и исполняет вредоносные shell-скрипты, которые в свою очередь загружают и выполняют вредоносную программу Mirai на целевой системе.
В целом, данная уязвимость в видеорегистраторах DigiEver DS-2105 Pro используется для распространения вредоносного ПО на базе Mirai и других подобных уязвимостей. Рекомендуется использовать список индикаторов компрометации, предоставленный в отчете, для обнаружения и предотвращения этой угрозы.
Indicators of Compromise
IPv4
- 104.37.188.76
- 141.98.11.79
- 149.50.106.25
- 154.213.187.50
- 154.216.17.126
- 185.82.200.181
- 193.233.193.45
- 194.87.198.29
- 195.133.92.51
- 213.182.204.57
- 31.13.248.89
- 45.125.66.90
- 45.202.35.24
- 45.202.35.91
- 5.35.104.31
- 5.39.254.71
- 81.29.149.178
- 86.107.100.80
- 88.151.195.22
- 91.132.50.181
- 91.149.218.232
- 91.149.238.18
- 95.214.53.205
Domains
- hailcocks.ru
SHA256
- 0d8c3289a2b21abb0d414e2c730d46081e9334a97b5e0b52b9a2f248c59a59ad
- 31813bb69e10b636c785358ca09d7f91979454dc6fc001f750bf03ad8bde8fe5
- 3c0eb5de2946c558159a6b6a656d463febee037c17a1f605330e601cfcd39615
- a1b73a3fbd2e373a35d3745d563186b06857f594fa5379f6f7401d09476a0c41
- b32390e3ed03b99419c736b2eb707886b9966f731e629f23e3af63ea7a91a7af
- dec561cc19458ea127dc1f548fcd0aaa51db007fa8b95c353086cd2d26bfcf02