Ботнет Hide ‘N Seek эволюционировал из IoT-угрозы в кроссплатформенную

Впервые IoT-ботнет Hide ‘N Seek (HNS) был замечен ИБ-специалистами в январе 2018 года. Тогда аналитики компании Bitdefender предупреждали, что новая угроза, атакующая IoT-девайсы, скомпрометировала более 24 000 устройств и продолжает стремительно разрастаться.

В мае 2018 года стало известно, что HNS активно развивается. Исследователи обнаружили, что новые версии малвари стали первыми из всех известных IoT-угроз, которые научились «переживать» перезагрузку зараженных устройств и продолжают работать даже после этого.

Тогда было известно, что HNS распространяется посредством комбинирования словарных брутфорс-атак и жестко закодированного списка учетных данных, обнаруживая в сети устройства с открытыми портами Telnet, но механизм распространения сильно кастомизирован. Так, вредонос работает подобно червю, и атака начинается с того, что он генерирует случайные IP-адреса и пытается установить соединение raw socket SYN с каждым адресом из полученного списка. После заражения устройства, HNS ищет другие цели в той же LAN-сети, а также запускает сервер TFTP (Trivial File Transfer Protocol) для доставки малвари.

Эксперты писали, что HNS отличается об большинство современных ботнетов, атакующих интернет вещей. Дело в том, что HNS строится не на базе модифицированной версии Mirai и демонстрирует куда большее сходство с малварью Hajime, то есть тоже использует децентрализованную peer-to-peer архитектуру. Причем если в случае Hajime авторы вредоноса использовали протокол BitTorrent, то разработчики HNS создали собственный механизм для P2P-коммуникаций.

Теперь обновленный отчет о деятельности HNS представили эксперты Netlab Qihoo 360. По данным специалистов, отныне HNS уже нельзя считать IoT-угрозой, так как теперь вредонос ищет уязвимые БД-решения, помимо роутеров и DVR. Так, в настоящее время HNS атакует следующие устройства и продукты, используя перечисленные эксплоиты:

• Роутеры TPLink RCE;
• Роутеры Netgear RCE;
• (новое) AVTECH RCE;
• (новое) Роутеры CISCO Linksys RCE;
• (новое) JAW/1.0 RCE;
• (новое) OrientDB RCE;
• (новое) CouchDB RCE.

Эксперты отмечают, что из-за большего количества пейлоадов HNS стал гораздо «заметнее», ведь теперь вредоносу нужно сканировать больше портов в поисках уязвимых решений. Теперь активность ботнета можно обнаружить по проявлению интереса к портам:

• 23      Telnet;
• 80      HTTP Web Service;
• 2480  OrientDB;
• 5984  CouchDB;
• 8080  HTTP Web Service;
• и других случайным портам.

Судя по всему, операторы Hide ‘N Seek переняли опыт администраторов другого известного ботнета, DDG: тот так же атаковал серверы OrientDB, но для заражения криптовалютным майнером. Теперь майнера распространяет уже HNS, но, по данным аналитиков Netlab Qihoo 360, пока пейлоад майнера не работает как должно, и новая тактика пока не принесла разработчикам вредоноса какой-либо прибыли. Нужно заметить, что в прошлом году операторы DDG «заработали» таким образом около миллиона долларов США.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.

Источник: xakep.