Ботнет Ttint использует уязвимость нулевого дня в маршрутизаторах Tenda

Первое упоминание о ботнете Ttint связано с китайской компанией Netlab от Qihoo 360. Информацию о появлении нового ботнета раскрыли специалисты ИБ-подразделения. Согласно их сообщению с ноября 2019 года, система 360Netlab Anglerfish отслеживала атаки с использованием двух уязвимостей Tenda роутерах для распространения трояна удаленного доступа (RAT) на основе кода Mirai.

Ttint использует исходный коде Mirai, который утёк еще в 2016 году. После утечки многие создатели ботнетов пытались модернизировать его и привнести что-то новое. Однако, Trint не просто заражает устройства для осуществления DDoS-атак, но и развёртывает 12 различных методов удаленного доступа, использует маршрутизаторы в качестве прокси для переадресации трафика, модифицирует настройки межсетевого экрана и DNS и даже позволяет злоумышленникам удаленно выполнять команды на зараженном устройстве посредством уязвимости нулевого дня с идентификатором CVE-2020-10987.

На уровне хоста поведение Ttint относительно простое. При запуске он удаляет свои собственные файлы, манипулирует вотчдогом (устройством удаленного мониторинга) и предотвращает перезапуск устройства. Он связывает порт; затем изменяет имя процесса, чтобы ввести пользователя в заблуждение и, наконец , устанавливает соединение с расшифрованным C2, сообщая информацию об устройстве.

Примечательно, что Tenda так и не выпустил обновление безопасности, но операторы ботнета решили не рисковать и спустя около месяца после публикации уязвимости начали использовать вторую уязвимость нулевого дня.

Уязвимость затрагивает маршрутизаторы Tenda с версиями прошивки от AC9 до AC18.