Fbot чувствует себя отлично и кушает IP-камеры хорошо

Опубликовано at 15:42
286 0

Старый знакомый экспертов по кибербезопасности, Fbot снова попал в их поле зрения. С середины февраля фиксируется рост количества сканов порта 8000; первый всплеск был зафиксирован 16 февраля. Инициаторами этой активности являются операторы ботнета на основе Fbot, которые пытаются внедрить обновленного зловреда в IP-камеры, с видеорегистраторами производства HiSilicon.

Когда эксперты открыли для себя Fbot в сентябре прошлого года, его цель была неясна:  проникнув на смартфон или IoT-устройство, новоявленный бот лишь отыскивал и вычищал с него криптомайнер ADB.Miner. Меж тем, анализ образцов Fbot показал сходство с вредоносной программой Satori, в том числе наличие таких же механизмов для проведения DDoS-атак (хотя у бота эта функциональность была отключена).

Текущая киберкампания Fbot явно имеет целью наращивание потенциала ботнета за счет заражения IoT-устройств, на которые его переориентировали.  Сообщается, что для доставки обновленного бота злоумышленники используют эксплойт к некой уязвимости в протоколе DVR-IP, также известном под именами NetSurveillance и Sofia. Им удалось заразить уже более 25 тысяч IP-адресов. в основном, в Юго-Восточной Азии.

Цепочка заражения Fbot происходит в несколько этапов. Вначале резидентный бот выполняет сканирование TCP-портов 80, 81, 88, 8000 и 8080. Обнаружив пригодную цель, он сообщает ее IP-адрес и номер порта генератору отчетов (Reporter) на C&C-сервере, поднятом в сетях голландского хостинг-провайдера. Обработанные данные передаются программе загрузки (Loader), которая подключается к веб-порту видеокамеры и пытается выполнить вход, используя идентификаторы, заданные по умолчанию.

Получив отклик, Loader штурмует порт DVR-IP (TCP 34567) с помощью другой дефолтной пары логин – пароль.

Ранее АКБ сообщало, как в поле зрения специалистов по кибербезопасности попало интереснейшее противостояние: два ботнета, Trinity и Fbot рьяно соперничают друг с другом, атакуя Android-устройства с открытыми отладочными портами.

Подписываемся, следим @CyberAgency

Related Post

Главной угрозой российским банкам остается Cobalt Strike

Опубликовано - 14.12.2017 0
Максимально актуальным для финансовой сферы считают в Центральном банке России использование злоумышленниками Cobalt Strike. Так называется вредоносное программное обеспечение для…

Экс-разработчик плагина WordPress Multilingual взломал сайт своей компании и устроил рассылку спама

Опубликовано - 24.01.2019 0
Странная история приключилась с плагином WPML, одним из наиболее популярных решений для поддержки нескольких языков на WordPress-сайтах. Согласно официальной статистике, плагин…

Добавить комментарий