بد افزار بات نت Mirai معروف به MooBot از اوایل ماه گذشته موج حمله جدیدی را آغاز کرده است و روترهای D-Link آسیب پذیر را تحت سوء استفاده های قبلی و جدید قرار داده است.
MooBot توسط تحلیلگران Fortinet در دسامبر 2021 کشف شد و یک نقص در دوربین های Hikvision را هدف قرار داد تا به سرعت گسترش یابد و تعداد زیادی دستگاه را در DDoS خود بکار گیرد.
امروز این بدافزار دامنه هدفگیری خود را تغییر داده است و برای دنبال مجموعه های دست نخورده از دستگاه های آسیب پذیری هستند که می توانند آنها را به دام بیاندازند.
روترهای D-Link تحت حمله بات نت MooBot قرار گرفتند
طبق گزارشی که توسط محققان واحد 42 شبکه پالو آلتو گردآوری شده است، MooBoot در حال حاضر روترهای D-Link زیر را هدف قرار داده است:
- CVE-2015-2051 – از طریق اجرای دستور هدر SOAPAction
- CVE-2018-6530 – از طریق اجرای کد ریموت رابط SOAP
- CVE-2022-26258 – از طریق اجرای کد ریموت دی لینک
- CVE-2022-28958 – از طریق اجرای کد ریموت دی لینک
شرکت D-Link بروزرسانی های امنیتی را برای رفع این نقص ها منتشر کرده است اما هنوز همه کاربران این پچ ها را استفاده نکرده اند، مخصوصا دو مورد آخری که در ماه مارس و می منتشر شد.
اپراتورهای MooBot از پیچیدگی کم حمله برای بدست آوردن اجرای کد از راه دور روی اهداف و واکشی باینری بدافزار با استفاده از دستورات دلخواه استفاده می کنند.
پس از اینکه بدافزار آدرس هاردکد شده را از پیکربندی رمزگشایی کرد، روترها در C2 عامل تهدید ثبت می شود.
توجه به این نکته مهم است که آدرس های C2 ارائه شده در گزارش واحد 42 با آدرس های موجود در Fortinet متفاوت است که نشان دهنده تجدید زیرساخت عامل تهدید است.
در نهایت روترهای مورد حمله قرار گرفته بسته به آنچه اپراتورهای MooBot می خواهند به آن دست یابند در حملات DDoS مستقیم علیه اهداف مختلف شرکت می کنند.
به طور معمول، عوامل تهدید خدمات DDoS را به دیگران می فروشند، بنابراین قدرت نتایج بات نت به هر کسی که علاقمند به ایجاد خرابی با اختلال در سایت ها و خدمات آنلاین است اجاره داده می شود.
کاربران روترهای D-Link مورد حمله قرار گرفته ممکن است متوجه کاهش سرعت اینترنت، عدم پاسخگویی، گرم شدن بیش از حد روتر یا تغییرات غیرقابل توضیح پیکربندی DNS شوند که همه نشانه های رایجی از آلوده شدن به بات نت هستند.
بهترین راه برای مقابله با MooBot بروزرسانی فریم ویر موجود در روترهای دی لینک است. اگر از یک دستگاه قدیمی یا پشتیبانی نشده استفاده می کنید باید آن را طوری پیکربندی کنید که از دسترسی از راه دور به پنل مدیریت جلوگیری شود.
اگر ممکن است از قبل به این بدافزار آلوده شده باشید باید از دکمه فیزیکی روتر برای ریست کردن روتر، تغییر رمز عبور پنل مدیریت و بروزرسانی پچ های امنیتی دی لینک اقدام کنید.
منبع خبر: bleepingcomputer
