Похоже, чересчур усердные операторы ботнетов Mirai решили, что для создания настоящего «монстра» одних маршрутизаторов и камер недостаточно, и теперь принялись за Linux-серверы. По словам специалиста компании Netscout Мэтью Бинга (Matthew Bing), новые образцы являются первыми вариантами Mirai, не предназначенными для устройств «Интернета вещей» (IoT).

Для распространения нового варианта злоумышленники пытаются эксплуатировать уязвимость в серверах Hadoop, затрагивающую модуль Yet Another Resource Negotiator (YARN) и впервые опубликованную на GitHub восемь месяцев назад. Уязвимость позволяет осуществить внедрение команд и выполнить произвольные команды shell.

По словам Бинга, Netscout ежедневно фиксирует десятки тысяч попыток атаковать Hadoop YARN. Из 225 проанализированных исследователями кодов как минимум десяток образцов «несомненно являются вариантами Mirai».

Поскольку образцы разработаны специально для атак на YARN, они намного проще, чем предшественники. Варианты Mirai для IoT должны уметь определять архитектуру устройства и различать x86, x64, ARM, MIPS и пр., а новым образцам это не нужно, поскольку они предназначены исключительно для архитектуры х86.

Как и в случае с IoT, новый вариант вредоносного ПО VPNFilter (разновидности Mirai) по-прежнему пытается взламывать серверы путем подбора заводских учетных данных через Telnet. Тем не менее, в случае успеха он не устанавливает вредонос, а «звонит домой», сообщая IP-адрес, логин и пароль атакуемого устройства.

О появлении вредоносного ПО VPNFilter впервые сообщили специалисты компании Cisco в мае нынешнего года. Оригинальный вариант вредоноса предназначался для атак на устройства Linksys, MikroTik, Netgear и TP-Link потребительского и офисного сегментов, а также сетевые накопители (NAS) производства Qnap.

Источник: securitylab.ru