Новости Малварь Condi строит ботнет из роутеров TP-Link

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.099
Репутация
11.695
Реакции
61.889
RUB
50
В мае 2023 года появился новый ботнет Condi, ориентированный на DDoS-атаки по найму.


Для построения ботнета и проведения атак вредонос использует уязвимости в Wi-Fi-маршрутизаторах TP-Link Archer AX21 (AX1800).
Специалисты сообщают, что малварь Condi нацелена на уязвимость CVE-2023-1389, связанную с инъекциями команд без аутентификации. Баг позволяет добиться удаленного выполнения кода через API интерфейса управления маршрутизатором.

Эта проблема была обнаружена на хакерском соревновании Pwn2Own в декабре прошлого года, а в марте 2023 года разработчики TP-Link выпустили до версии 1.1.4 Build 20230219, где баг был исправлен. Стоит отметить, что эту уязвимость в конце апреля уже в работе Mirai-ботнет.

AX1800 — популярная модель Wi-Fi 6 маршрутизатора на базе Linux с пропускной способностью 1,8 Гбит/с (2,4 ГГц и 5 ГГц), чаще всего используемая домашними пользователями, небольшими офисами, магазинами, кафе и так далее.

В отчете исследователей отмечается, что злоумышленники, стоящие за Condi, не только сдают мощности своего ботнета в аренду, но и продают исходный код своего вредоносного ПО, то есть занимаются весьма агрессивной монетизацией, результатом которой станет появление многочисленных форков малвари с различными функциями.



Так как упомянутая уязвимость используется не только Condi, вредонос имеет механизм, который ликвидирует любые процессы, принадлежащие ботнетам-конкурентам, а также останавливает собственные старые версии.

Поскольку Condi не имеет механизма закрепления в системе и не сохраняется после перезагрузки устройства, его авторы придумали удалять следующие файлы, что предотвращает выключение или перезапуск устройств:

  • /usr/sbin/reboot
  • /usr/bin/reboot
  • /usr/sbin/shutdown
  • /usr/bin/shutdown
  • /usr/sbin/poweroff
  • /usr/bin/poweroff
  • /usr/sbin/halt
  • /usr/bin/halt
С целью заражения уязвимых маршрутизаторов TP-Link малварь сканирует общедоступные IP-адреса с открытыми портами 80 или 8080 и отправляет жестко закодированные запросы на загрузку и выполнение remote shell скрипта, который заражает устройство.



Также исследователи упоминают, что некоторые образцы Condi используют для распространения не только CVE-2023-1389, но и другие баги, то есть, похоже, хакеры экспериментируют с механизмом заражения.

Кроме того, аналитики обнаружили образцы, в которых используется шелл-скрипт с ADB (Android Debug Bridge), то есть, похоже, вредонос распространяется и через устройства с открытым портом ADB (TCP/5555). Предполагается, что это следствие того, что исходный код Condi уже купили и скорректировали под свои нужды другие хакеры.

 
Сверху Снизу