یک botnet جدید(Wormable) که از طریق GitHub و Pastebin گسترش مییابد و ماینرها و Backdoorها را روی سیستمهای هدف نصب میکند، با قابلیتهای گسترده برای به خطر انداختن برنامههای وب، دوربینهای IP و روترها مشاهده شده است.
در اوایل ماه گذشته، محققان آزمایشگاههای Juniper Threat یک کمپین استخراج رمزارز به نام “Gitpaste-12” را کشف کردهاند که از GitHub برای میزبانی کد مخربی استفاده میکرد که حاوی حدود ۱۲ ماژول حمله شناخته شده است که از طریق دستورات بارگیری شده از URL Pastebin اجرا میشود.
به گفته Juniper موج دوم حملات در تاریخ ۱۰ نوامبر با استفاده از بارگیری از مخزن GitHub که حاوی crypto-miner لینوکس (“ls”) است آغاز شد، پروندهای با لیستی از رمزهای عبور برای brute-force و exploit local privilege escalation برای سیستمهای x86_64 لینوکس.
روند آلودگی اولیه از طریق X10-unix باینری نوشته شده به زبان برنامه نویسی Go اتفاق میافتد که برای بارگیری مرحله بعدی payload از GitHub روند کار ادامه مییابد.
این Worm یک سری حملات گسترده را که برنامههای وب، دوربین های IP، روترها و موارد دیگر را هدف قرار میدهد و شامل حداقل ۳۱ آسیبپذیری شناخته شده میشود که هفت مورد از آنها در نمونه قبلی Gitpaste-12 نیز دیده شدهاند.
نقص کد از راه دور در رابط کاربری مدیریت ترافیک (F5 BIG-IP (CVE-2020-5902
(Pi-hole Web (CVE-2020-8816
(Tenda AC15 AC1900 (CVE-2020-10987
و (vBulletin (CVE-2020-17496 و یک آسیبپذیری تزریق SQL در (FUEL CMS (CVE-2020-17463 در لیست ۳۱ آسیبپذیری موجود هستند.
جدا از نصب X10-unix و نرمافزار استخراج رمزارز Monero بر روی دستگاه، این بدافزار همچنین پورتهای ۳۰۰۰۴ و ۳۰۰۰۶ را باز میکند، آدرس IP خارجی قربانی را در یک Pastebin خصوصی بارگذاری میکند و سعی میکند به اتصالات Android Debug Bridge در پورت ۵۵۵۵ متصل شود.
با اتصال موفقیتآمیز، اقدام به بارگیری یک فایل (“Android APK (“weixin.apk میکند که در نهایت نسخه ARM CPU X10-unix را نصب میکند.
طبق ارزیابی Juniper درمجموع حداقل ۱۰۰ میزبان مشخص در حال انتشار آلودگی دیده شدهاند.
یک نظر