Ботнет Ttint эксплуатирует 0day-уязвимость в маршрутизаторах Tenda

Ботнет Ttint эксплуатирует 0day-уязвимость в маршрутизаторах Tenda

Alexander Antipov

Ttint на несколько порядков выше других ботнетов, обнаруженных в прошлом году.

image

В течение почти целого года киберпреступники эксплуатируют уязвимости нулевого дня в маршрутизаторах Tenda с целью включения их в IoT-ботнет.

Первыми о ботнете под названием Ttint сообщили специалисты подразделения Netlab китайской технологической компании Qihoo 360. По их словам, Ttint существенно отличается от множества ботнетов, обнаруженных ими в прошлом году.

Ttint базируется на исходном коде Mirai, утекшем в 2016 году. После утечки кода каждый создатель ботнета пытается привнести в него что-то новое, но авторы Ttint, похоже, «переплюнули» их всех. Вредоносное ПО не просто инфицирует устройства для осуществления DDoS-атак, но также развертывает 12 различных методов удаленного доступа, использует маршрутизаторы в качестве прокси для переадресации трафика, модифицирует настройки межсетевого экрана и DNS и даже позволяет злоумышленникам удаленно выполнять команды на зараженном устройстве.

По данным исследователей, ботнет был развернут в ноябре 2019 года, именно в это время они впервые зафиксировали атаки на маршрутизаторы Tenda через уязвимость нулевого дня CVE-2020-10987. Злоумышленники эксплуатировали эту уязвимость до июля 2020 года, пока старший аналитик компании Independent Security Evaluators Санджана Сарда (Sanjana Sarda) не опубликовала подробности о ней и о четырех других уязвимостях.

Производитель так и не выпустил исправление, но операторы ботнета решили не испытывать судьбу и через несколько недель после публикации уязвимости начали эксплуатировать другую уязвимость нулевого дня. Netlab пока не раскрывает подробности о ней во избежание эксплуатации ее операторами других ботнетов. Исследователи уведомили производителя о проблеме. На данный момент исправление еще не выпущено.

Уязвимость затрагивает маршрутизаторы Tenda с версиями прошивки от AC9 до AC18. Поскольку Ttint модифицирует настройки DNS (скорее всего, с целью переадресации жертвы на вредоносные сайты), пользоваться этими маршрутизаторами в настоящее время не рекомендуется.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab