Разработчик вредоносного ПО Satori (также известного как Mirai Okiru) и создатель одноименного ботнета вновь принялся за дело, в этот раз атакуя маршрутизаторы D-Link с целью организации новой сети ботов. Исследователи из компании NewSky Security обнаружили два новых варианта Mirai — Masuta и PureMasuta, автором которых, по всей видимости, является создатель Satori.
В минувшем месяце экспертам в области кибербезопасности удалось идентифицировать организатора атак на маршрутизаторы Huawei, в ходе которых для установки Satori эксплуатировалась уязвимость CVE-2017-17215, связанная с некорректной реализацией в устройствах Huawei HG532 протокола TR-064, применяемого для автоматизации настройки оборудования. Им оказался некто под псевдонимом Nexus Zeta. Тогда Nexus Zeta посчитали хакером-новичком, но судя по разработанным им новым версиям вредоносов, злоумышленник существенно усовершенствовал свои навыки.
Первый вариант, Masuta, опирается на стандартный поиск IoT-устройств с учетными данными по умолчанию. Второй вариант, названный PureMasuta, более интересен, так как эксплуатирует старую уязвимость в протоколе администрирования домашней сети D-Link (Home Network Administration Protocol, HNAP), обнаруженную в 2015 году.
По словам экспертов, используемая вредоносом уязвимость позволяет обойти проверку подлинности с помощью специально сформированного SOAP-запроса — hxxp://purenetworks.com/HNAP1/GetDeviceSettings. Кроме того, из-за некорректной обработки строк возможно выполнение системных команд (приводящих к произвольному выполнению кода). Таким образом злоумышленники может сформировать SOAP-запрос для обхода авторизации и выполнения произвольного кода.
В начале января после некоторого затишья ботнет Satori возобновил активность и был замечен в атаках на оборудование для майнинга криптовалюты с установленным ПО Claymore. Новый вариант вредоноса заменяет пул и адрес кошелька владельца на адрес и пул злоумышленников.
HNAP – сетевой протокол, разработанный компанией Pure Networks, позже права на него приобрела Cisco Systems. HNAP основан на протоколе Simple Object Access Protocol (SOAP) и используется для администрирования сетевых устройств.

Источник: securitylab.ru