Автор зловреда Satori связан с Masuta - новым видом Mirai
Эксперты NewSky Security выяснили, что автор одной из разновидностей зловреда Mirai, известной как Satori и Mirai Okiru, также ответственен за появление двух новых вариаций ботнета — Masuta и PureMasuta.
Изучив исходный код Masuta, недавно всплывший в даркнете, исследователи NewSky Security увидели связь между Satori и Masuta. За ними стоит киберпреступник с ником Nexus Zeta.
В прошлом месяце исследователи впервые столкнулись с работой Nexus Zeta, когда он организовал серию атак на роутеры Huawei с целью распространения разновидности Mirai под названием Satori. Сначала им показалось, что они имеют дело с начинающим взломщиком, так как оставленные им следы позволили исследователям найти его учетную запись Nexus Zeta на форуме HackForums.
«Благодаря утечке кода мы точно знаем, что Nexus Zeta — не просто «звезда одной песни» или малолетний подражатель, клонирующий чужой код, — заявил Анкит Анубхав (Ankit Anubhav), главный исследователь лаборатории NewSky Security. — Он продолжает оттачивать свои навыки, что мы видим на примере Masuta».
Во вторничном докладе ИБ-эксперты NewSky Security также указали на вторую разновидность Masuta — PureMasuta. Второй штамм зловреда сам по себе уникален, поскольку он полагается на рабочий эксплойт бага D-Link HNAP, который помог злоумышленникам расширить ботнет.
В основе уязвимости D-Link HNAP лежит баг инъекции кода в протоколе Home Network Administration Protocol (HNAP), впервые найденный в устройствах D-Link в 2015 году. HNAP представляет собой сетевой протокол разработки компании Pure Networks, впоследствии поглощенной Cisco Systems. HNAP работает на протоколе Simple Object Access Protocol (SOAP) и нужен администраторам для управления сетевыми устройствами.
«Брешь позволяет обойти процедуру аутентификации с помощью специального SOAP-запроса с командой hxxp://purenetworks.com/HNAP1/GetDeviceSettings. Кроме того, из-за неправильной обработки строк злоумышленник сможет выполнять системные команды, что равносильно запуску произвольного кода. Взяв обе уязвимости на вооружение, злоумышленник сначала создает SOAP-запрос, чтобы обойти аутентификацию, а затем выполняет произвольный код», — написал Анубхав.
Как выяснилось в ходе анализа скрипта оболочки для ботнета PureMasuta, загруженного с командного сервера, он и Masuta работают с одним и тем же сервером.
«Мы заметили, что C&C не отличается от используемого в оригинальных разновидностях Masuta. Следовательно, PureMasuta представляет собой улучшенную версию Masuta того же авторства», — сообщил Анубхав.