یک botnet جدید(Wormable) که از طریق GitHub و Pastebin گسترش می‌یابد و ماینرها و Backdoorها را روی سیستم‌های هدف نصب می‌کند، با قابلیت‌های گسترده برای به خطر انداختن برنامه‌های وب، دوربین‌های IP و روترها مشاهده شده است.

 

در اوایل ماه گذشته، محققان آزمایشگاه‌های Juniper Threat یک کمپین استخراج رمزارز به نام “Gitpaste-12” را کشف کرده‌اند که از GitHub برای میزبانی کد مخربی استفاده می‌کرد که حاوی حدود ۱۲ ماژول حمله شناخته شده است که از طریق دستورات بارگیری شده از URL Pastebin اجرا می‌شود.
به گفته Juniper موج دوم حملات در تاریخ ۱۰ نوامبر با استفاده از بارگیری از مخزن GitHub که حاوی crypto-miner لینوکس (“ls”) است آغاز شد، پرونده‌ای با لیستی از رمزهای عبور برای brute-force و exploit local privilege escalation برای سیستم‌های x86_64 لینوکس.

روند آلودگی اولیه از طریق X10-unix باینری نوشته شده به زبان برنامه نویسی Go اتفاق می‌افتد که برای بارگیری مرحله بعدی payload از GitHub روند کار ادامه می‌یابد.
این Worm یک سری حملات گسترده را که برنامه‌های وب، دوربین های IP، روترها و موارد دیگر را هدف قرار می‌دهد و شامل حداقل ۳۱ آسیب‌پذیری شناخته شده می‌شود که هفت مورد از آنها در نمونه قبلی Gitpaste-12 نیز دیده شده‌اند.

 

نقص کد از راه دور در رابط کاربری مدیریت ترافیک (F5 BIG-IP (CVE-2020-5902
(Pi-hole Web (CVE-2020-8816
(Tenda AC15 AC1900 (CVE-2020-10987
و (vBulletin (CVE-2020-17496 و یک آسیب‌پذیری تزریق SQL در (FUEL CMS (CVE-2020-17463 در لیست ۳۱ آسیب‌پذیری موجود هستند.

جدا از نصب X10-unix و نرم‌افزار استخراج رمزارز Monero بر روی دستگاه، این بدافزار همچنین پورت‌های ۳۰۰۰۴ و ۳۰۰۰۶ را باز می‌کند، آدرس IP خارجی قربانی را در یک Pastebin خصوصی بارگذاری می‌کند و سعی می‌کند به اتصالات Android Debug Bridge در پورت ۵۵۵۵ متصل شود.
با اتصال موفقیت‌آمیز، اقدام به بارگیری یک فایل (“Android APK (“weixin.apk می‌کند که در نهایت نسخه ARM CPU X10-unix را نصب می‌کند.

طبق ارزیابی Juniper درمجموع حداقل ۱۰۰ میزبان مشخص در حال انتشار آلودگی دیده شده‌اند.

 


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

76

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *