Od początku tego roku cyberprzestępcy celują w luki Cacti i Realtek na możliwych do wykorzystania serwerach Windows i Linux. W dwóch różnych atakach cyberprzestępcy zainfekowali ofiary złośliwym oprogramowaniem botnetowym ShellBot (aka PerlBot) i Moobot. Nakładające się techniki ataków wskazują, że za obydwoma atakami stoją ci sami napastnicy.

Dla tych co nie kojarzą

Cacti – jest to oprogramowanie open source służące do monitorowania pracy urządzeń telekomunikacyjnych oraz komputerowych. Służy również do archiwizacji wyników pomiarów pracy tych urządzeń oraz do przedstawiania wyników tych pomiarów w formie wykresów. Istnieją wersje Cacti pracujące pod systemami Linux oraz Windows.

Realtek – to tajwańskie przedsiębiorstwo z branży półprzewodnikowej. Zajmuje się głównie tworzeniem układów scalonych w trzech kategoriach: komunikacyjnych, multimedialnych i urządzeń peryferyjnych. Ich sterowniki (m.in audio) można znaleźć niemal w każdym urządzeniu opartym o systemy Windows czy Linux.

Jak działa Moobot

Według badaczy Fortinet, Moobot — wariant Mirai — atakuje lukę umożliwiającą wstrzyknięcie dowolnego polecenia (CVE-2021-35394) w Realtek Jungle SDK oraz lukę w zabezpieczeniach umożliwiającą wstrzyknięcie polecenia (CVE-2022-46169) w Cacti.

Atakujący przejmują kontrolę nad podatnymi na ataki systemami w celu pobrania skryptu zawierającego konfigurację szkodliwego oprogramowania i nawiązania połączenia z serwerem C2.

Moobot stale komunikuje się z serwerem C2 za pomocą komunikatów pulsu, a następnie inicjuje atak.
Najnowszy wariant Moobota skanuje w poszukiwaniu innych znanych botów i zabija ich procesy, aby wykorzystać maksymalną moc sprzętową zainfekowanego hosta do przeprowadzania ataków DDoS.

Jak działa ShellBot

Atakujący celowali przede wszystkim w lukę Cacti, aby wdrożyć trzy nowe warianty złośliwego oprogramowania ShellBot – PowerBots (C) GohacK, LiGhT’s Modded perlbot v2 i B0tchZ 0.2a.

Pierwszy wariant nawiązuje połączenie z serwerami C2 i oczekuje na polecenia wykonania złośliwych działań.

Drugi wariant zawiera znacznie bardziej rozbudowany zestaw poleceń i zawiera liczne rodzaje ataków typu flooding, moduł ulepszania exploitów oraz funkcje hakerskie. Uaktywnił się w tym miesiącu i zgromadził już setki ofiar.

Trzeci wariant zawiera konfigurację z wieloma poleceniami do wykonywania złośliwych działań i atakowania wrażliwych serwerów Cacti.

źródło: https://cyware.com/news/attacks-ramp-up-against-cacti-and-realtek-vulnerabilities-a07460d9/?web_view=true
https://www.bleepingcomputer.com/news/security/realtek-and-cacti-flaws-now-actively-exploited-by-malware-botnets/