Juniper Threat Labs предава за активността на пореден IoT ботнет, който копае криптовалута – Monero.
Става дума за известен на специалистите по киберсигурност ботнет с името FreakOut (познат още като Necro Python или Python.IRCBot).
В края на миналия месец, Juniper забелязали, че неизвестна страна експлоатира слабост в конкретен модел на DVR устройствата на Visual Tools – VX16 4.2.28.0 (уязвимостта, която бива атакувана все още няма идентификационен CVE номер). Успешното експлоатиране на въпросната слабост позволява на хакерите да проникнат в устройствата и свалят основния код на FreakOut, който на свой ред инсталира Monero копач. Самата уязвимост и начина за експлоатирането ѝ биват публикувани в Интернет по-рано тази година.
FreakOut представлява сложен, модулен ботнет, който се разпространява по различни методи (brute-force, експлоатиране на уязвимости, като се използва освен за инсталиране на Monero миньор, също и за провеждане на DDoS атаки, инжектиране на зловреден код в JS, PHP и HTML файлове, помещаващи се на недобре защитени сървъри и инсталиране на руткит за Windows. Основния код на ботнета може да се изпълнява, както в Windows, така и в Линукс среди и притежава силна полиморфна защита, което го предпазва от засичане от традиционните сигнатурно-базирани защити, пишат Juniper. Освен това, създателите на FreakOut успяват да защитят ботнета от сваляне чрез използването на алгоритъм за генериране на домейни, както за командния, така и за даунлоуд сървъра си.
Повече за дейността на FreakOut, индикатори на компрометиране и друга информация, свързана с него, може да намерите в доклада на Juniper.
