Yeni Botenago Malware Botnet, milyonlarca yönlendiriciye ve iot cihazına saldırmak için otuzdan fazla istifi kullanılarak keşfedilmiştir.
Botenago, son yıllarda popülerlikte patlayan Golang (GO) 'da yazılmıştır, kötü amaçlı yazılımları, mühendisliği tespit etmek ve tersine çevirmek için daha zor olan yükler yapmak için seven kötü amaçlı yazılımlar.
Botenago durumunda, virustotal üzerindeki 62 AV motorundan sadece altı numuneyi kötü amaçlıdır ve bazıları Mirai olarak tanımlamaktadır.
Botenago, aşağıda verilen bazı örnekleri olan çeşitli yönlendiriciler, modemler ve NAS aygıtları için 33 istismar içerir:
AT & T'deki araştırmacılar, yeni Botnet'i analiz eden, yukarıdaki kusurlardan yararlanan işlevlerle milyonlarca cihazı hedeflediğini buldu.
Verilen bir örnek, gömülü uygulamalarda kullanılan durdurulan açık kaynaklı bir Web sunucusu olan BOA için arama dizesidir ve Hala SHODAN'da neredeyse iki milyon internet yüzlü cihazı döndüren bir kişidir.
Başka bir önemli örnek, 250.000'in hala sömürülmesi olan Comtrend VR-3033 ağ geçidi cihazlarında bir komut enjeksiyon hatası olan CVE-2020-10173'ün hedeflenmesidir.
Yüklendiğinde, kötü amaçlı yazılım, bir IP adresinin buna gönderilmesini beklerken iki bağlantı noktasını (31412 ve 19412) dinler. Biri alındığında, bot erişim kazanmak için bu IP adresindeki her güvenlik açığından yararlanacaktır.
Botenago erişim kazandığında, cihazı botnet içine almak için uzak kabuk komutlarını yürütecektir.
Hangi cihazın hedeflendiğine bağlı olarak, kötü amaçlı yazılım eşleşen bir yükü almak için farklı bağlantılar kullanır.
Analiz sırasında, hosting sunucusunda yük yoktu, bu yüzden hiçbiri analiz için alınamaz.
Ayrıca, araştırmacılar Botenago ile aktör kontrollü bir sunucu arasında aktif bir C2 iletişimi bulamadılar, bu yüzden nasıl çalıştığı hakkında üç potansiyel açıklama yaptılar:
Sonuç olarak, Botenago'nun vahşi doğada ortaya çıkması, eksik operasyonel durumu göz önüne alındığında olağandışıdır, ancak altta yatan yetenekleri yazarlarının niyeti hakkında hiç şüpheden ayrılmaktadır.
Neyse ki, yeni botnet erken tespit edildi ve uzlaşma göstergeleri zaten mevcut. Yine de, sömürülecek savunmasız çevrimiçi cihazlar zenginliği olduğu sürece, teşvik aktörlerinin Botenago'nun gelişimine devam etmesi için orada.
Spam gönderenler Kobalt grevini bırakmak için Squirrelwaffle Malware'i kullanır
Mykings botnet hala aktif ve büyük miktarda para kazanıyor
Freakout Botnet şimdi savunmasız video DVR cihazlarına saldırıyor
Flubot Android Malware şimdi sahte güvenlik güncellemeleri ile yayılır
Omigod: Microsoft Azure VMS Mirai, Miners'ı düşürmek için kullandılar.
Kaynak: Bleeping Computer