Исследовательская команда Cydome обнаружила активную кампанию нового варианта ботнета Mirai, получившего обозначение «Broadside». В отличие от предшественников, эта угроза целенаправленно атакует сектор морской логистики, используя уязвимость CVE-2024-3721 в устройствах TBK DVR (Digital Video Recorder), которые широко применяются на судах. Анализ показывает, что злоумышленники преследуют не только цели, связанные с распределёнными атаками типа «отказ в обслуживании» (DDoS), но и пытаются получить доступ к системным учетным данным, что открывает путь к повышению привилегий и перемещению внутри сети.
Описание
Кампания остаётся активной. Специалисты Cydome отслеживают связанную с ней инфраструктуру на протяжении нескольких месяцев, отмечая синхронный рост и спад активности IP-адресов. Изначально вредоносное ПО проникает на целевые устройства через критическую уязвимость удалённого внедрения команд в конечной точке "/device.rsp". Эксплуатация позволяет злоумышленникам выполнить команду, которая загружает и запускает в памяти загрузочный скрипт "mass". Этот скрипт отличается максимальной совместимостью. Он пытается загрузить исполняемые файлы для различных архитектур процессоров, включая ARM, MIPS и x86, используя поочерёдно утилиты "wget", "curl" и "ftpget" для гарантии успеха. После выполнения скрипт немедленно удаляет артефакты с диска, что усложняет обнаружение.
Технически «Broadside» значительно отличается от классических вариантов Mirai. Во-первых, он использует собственный протокол взаимодействия с командным сервером (C2, Command and Control) через порты TCP/1026 и TCP/6969. Каждый пакет содержит уникальную «магическую» сигнатуру "0x36694201". Во-вторых, ботнет применяет продвинутые методы скрытности и обеспечения постоянного присутствия (persistence). Ключевым элементом стал модуль мониторинга процессов, который работает в двух режимах. В приоритетном «умном» режиме он использует сокеты ядра Netlink для получения событий о создании процессов. Этот подход, основанный на событиях, гораздо менее заметен, чем традиционное постоянное сканирование файловой системы. Если Netlink недоступен, модуль переключается в агрессивный «панический» режим, сканируя каталог "/proc" каждые 0.1 секунды.
Особого внимания заслуживает модуль, который исследователи назвали «Судья, присяжные и исполнитель». Его задача - обеспечить эксклюзивный контроль над заражённым устройством. Модуль динамически создаёт чёрные и белые списки исполняемых файлов. Процессы, чьи пути совпадают с чёрным списком, немедленно завершаются, а их бинарные файлы удаляются. Интересно, что логика включает поиск пути с маркером «(deleted)», что характерно для процессов, чей исполняемый файл был удалён с диска - распространённая техника сокрытия среди вредоносного ПО. Таким образом, «Broadside» активно борется с конкурирующими вредоносными программами и потенциально средствами безопасности.
Основная полезная нагрузка (payload) ботнета - это высокопроизводительный генератор UDP-флуда. Модуль создаёт до 32 сокетов, привязывая их к случайным портам-источникам, что осложняет фильтрацию. Для обхода статических систем защиты используется полиморфизм полезной нагрузки: биты в заголовках и данных пакетов инвертируются, создавая несколько вариантов трафика. Однако наиболее тревожным открытием стало то, что «Broadside» пытается получить доступ к файлам с учетными данными системы "/etc/passwd" и "/etc/shadow". Это указывает на вторичную цель кампании - сбор учётных данных для последующего повышения привилегий и горизонтального перемещения по сети. Скомпрометированное устройство превращается из простого бота в стратегический плацдарм для более глубокого вторжения.
Кампания «Broadside» демонстрирует эволюцию угроз на базе Mirai в сторону большей скрытности и многоцелевого воздействия. Её можно отнести к тактикам и техникам, описанным в матрице MITRE ATT&CK. Например, использование нестандартных портов для C2 (T1571), удаление индикаторов с диска (T1070.004), вывод из строя средств защиты через завершение процессов (T1562.001) и сброс учетных данных ОС (T1003.008). Для организаций, особенно в морском секторе, критически важно незамедлительно проверить наличие уязвимых устройств TBK DVR, применить патчи для CVE-2024-3721 и обеспечить строгую сегментацию сетевого периметра, изолируя критическое оборудование от публичного интернета.
Индикаторы компрометации
IPv4
- 124.198.132.121
- 194.116.215.241
- 195.96.129.13
- 198.98.51.250
- 198.98.54.74
- 213.209.143.114
- 31.57.105.47
- 45.61.188.151
- 45.61.188.47
- 51.83.147.130
URLs
- http://213.209.143.114/[arch]
- http://213.209.143.114/mass
SHA256
- 0470652101cd297e9121b4e21a6af0ee0833c9286c5209c3a3216f1a4a9909c2
- 138370145564ddb2b40f875b28a365134567f6865bbcecd08de5a782a3252128
- 1b2f46c131385da902c3e30f58bab9638ea40534fba65268849e15cf7be08916
- 1e32f52dc84d341a165fae5e310f86ccc5f9970c898659149218ec31b9640ed4
- 215ca8d287d9eb62a0823a4de5a6545d87453e41872f14bdd8047cab035831b1
- 21e8420e2bce3849c7a769a7528c74f53a5add799606399b056f9090347ce6c4
- 234c1476e7002c92f77d72c166719a9db67c677c13d31d7aef445f9565dcf5c8
- 51ee1e61eac7a0dfdc1fd42ca93676cbe73f288e5e3c9d81509855d6d184845a
- 6c6df42a6934cf566583861f7870d55f1e09d46ece58396af6a81cf1b16ff881
- 769c08447897057176f994fee999fdeee673535ffe3f1d639060a1fdff17bfb8
- 87d56ee88baea0191d2bec7a2abb41cb74b3f2f2b976a2e197f56d20f24a3e61
- 987c294af82c88d806e02abac01cb3f955533c4ea38c7fe664b84696d902f03a
- e19458cf891d7e14ad4b0b6e8fa8fef6066daf953f1d795085fa7309d3c7949d
- e48469fdf3f1a8c1db70d059c6ed544a40cbae094f9b31e5fb885f254b27c1ee
- f778e3737ad3ef79706bcf35f18d38dc068b7e1530b75d82a60315cb6e1443cb
