Ботнет Mozi атакует шлюзы Netgear, Huawei и ZTE - «Новости»

  • 10:30, 24-авг-2021
  • Новости / Типы носителей / Вёрстка / Сайтостроение
  • Leman
  • 0

P2P-ботнет Mozi, обычно нацеленный на различные IoT-устройства, получил новые возможности, которые обеспечивают ему устойчивое присутствие в сетевых шлюзах производства Netgear, Huawei и ZTE. Теперь малварь способна вмешиваться в трафик зараженных систем с помощью спуфинга DNS и захвата HTTP-сессий.


Новую вариацию Mozi обнаружили эксперты компании Microsoft. Они отмечают, что сетевые шлюзы — лакомый кусок для злоумышленников, так как подобные устройства идеальны в качестве начальных точек доступа к корпоративным сетям. Теперь Mozi использует «умные методы сохранения устойчивого присутствия, которые специально адаптированы к конкретной архитектуре каждого шлюза». Это позволяет операторам Mozi избегать удаления малвари во время перезагрузки и продлевает время нахождения на зараженных устройствах.



Ботнет Mozi атакует шлюзы Netgear, Huawei и ZTE - «Новости»


«Заражая маршрутизаторы, [Mozi] может выполнять атаки типа MitM, перехвата HTTP и спуфинга DNS, что ведет к компрометации эндпоинтов, развертыванию программ-вымогателей или возникновению нарушений безопасности на объектах критической инфраструктуры», — предупреждает компания.


Перечисленное позволяет операторам Mozi планировать и организовывать атаки более высокой сложности, чем обычный DDoS. В частности, Microsoft сообщает, что Mozi развертывает на зараженных сетевых шлюзах модули, которые перехватывают DNS- и HTTP-запросы. В итоге Mozi может диктовать зараженным шлюзам, как отвечать на DNS-запросы для определенных доменов и перенаправлять пользователей на сервер, контролируемый самими злоумышленниками. Также малварь может перехватывать HTTP-сессии и внедрять вредоносный контент в трафик жертв.


Такое поведение может использоваться, например, для незаметного выполнения перенаправления HTTP 301, которое «уведет» пользователя с настоящего сайта на вредоносную альтернативу, а также для внедрения вредоносного jаvascript на легитимные сайты, что можно использовать для кражи паролей и перехвата нажатий клавиш.


Microsoft сообщает, что для получения доступа к уязвимым устройствам операторы Mozi брутфорсят слабые пароли Telnet, а также эксплуатируют около 10 известных уязвимостей. Но, к сожалению, исследователи не предоставили никаких подробностей о том, какие именно уязвимости использует ботнет, и какие модели Netgear, Huawei и ZTE он атакует.


 

Другие новости


Рекомендуем

Комментарии (0)

Комментарии для сайта Cackle



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!