La botnet Moobot sta arrivando per il tuo router D-Link senza patch
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 7 Settembre 2022
Tags: #botnet, #d, link, #moobot, #malware
Tags: #botnet, #d, link, #moobot, #malware
La botnet Moobot sta arrivando per il tuo router D-Link senza patch
La variante della botnet malware Mirai nota come "MooBot" è riemersa in una nuova ondata di attacchi iniziata all'inizio del mese scorso, che ha preso di mira i router D-Link vulnerabili con un mix di exploit vecchi e nuovi.
MooBot è stato scoperto dagli analisti di Fortinet nel dicembre 2021, mirando a un difetto nelle telecamere Hikvision per diffondersi rapidamente e arruolare un gran numero di dispositivi nel suo esercito DDoS (Distributed Denial of Service).
Oggi, il malware ha aggiornato il suo ambito di targeting, tipico delle botnet che cercano pool non sfruttati di dispositivi vulnerabili che possono irretire.
Secondo un rapporto compilato dai ricercatori dell'Unità 42 di Palo Alto Network, MooBot sta ora prendendo di mira le seguenti vulnerabilità critiche nei dispositivi D-Link:
CVE-2015-2051: D-Link HNAP SOAPAction Header Command Execution Vulnerability
CVE-2018-6530: Vulnerabilità nell'esecuzione di codice in modalità remota dell'interfaccia SOAP D-Link
CVE-2022-26258: Vulnerabilità nell'esecuzione di comandi remoti D-Link
CVE-2022-28958: Vulnerabilità nell'esecuzione di comandi remoti D-Link
Il fornitore ha rilasciato aggiornamenti di sicurezza per risolvere questi difetti, ma non tutti gli utenti hanno ancora applicato le patch, in particolare le ultime due, che sono diventate note a marzo e maggio di quest'anno.
Gli operatori di MooBot sfruttano la complessità a basso attacco dei difetti per ottenere l'esecuzione di codice in remoto sui bersagli e recuperare il file binario del malware utilizzando comandi arbitrari.
Panoramica dell'attacco di MooBot
Dopo che il malware ha decodificato l'indirizzo hardcoded dalla configurazione, i router appena acquisiti vengono registrati nel C2 dell'attore della minaccia.
È importante notare che gli indirizzi C2 presentati nel rapporto dell'Unità 42 differiscono da quelli nell'articolo di Fortinet, indicando un aggiornamento nell'infrastruttura dell'attore delle minacce.
Alla fine, i router catturati partecipano ad attacchi DDoS diretti contro vari obiettivi, a seconda di ciò che gli operatori di MooBot desiderano ottenere.
In genere, gli attori delle minacce vendono servizi DDoS ad altri, quindi la potenza di fuoco della botnet viene noleggiata a chiunque sia interessato a causare tempi di inattività o interruzioni a siti e servizi online.
Gli utenti di dispositivi D-Link compromessi possono notare cali di velocità Internet, mancata risposta, surriscaldamento del router o modifiche inspiegabili della configurazione DNS, tutti segni comuni di infezioni botnet.
Il modo migliore per chiudere la porta a MooBot è applicare gli aggiornamenti firmware disponibili sul tuo router D-Link. Se stai utilizzando un dispositivo vecchio e non supportato, dovresti configurarlo per impedire l'accesso remoto al pannello di amministrazione.
Se potresti essere già stato compromesso, dovresti eseguire un ripristino dal pulsante fisico corrispondente, modificare la password dell'amministratore e quindi installare gli ultimi aggiornamenti di sicurezza dal fornitore.