Обновленный Demonbot атакует IoT-устройства

Эксперты по информационной безопасности обнаружили новый вариант Demonbot, который создан на базе кода Мираи и используется системой Hadoop.

Предшественник нового зловреда был основан на варианте Demonbot Mirai и фокусировался на эксплойте Hadoop YARN. Второй вариант, который используется сейчас злоумышленниками, основан на варианте Mirai, разработанном компанией Scarface. Demonbot сфокусировался на устройствах Интернета вещей.

Последний вариант нацелен на порты 5500, 5501, 5502, 5050 и 60001 с помощью простой команды, которая использует эксплойт выполнения команды MVPower DVR Shell unauthenticated. Злоумышленники используют один эксплойт и в основном фокусируются на порте 60001. Специалисты по ИБ подозревают, что другие порты-это просто отвлекающий маневр; причина может крыться в конкретных целях атак.

В последнее время устройства Интернета вещей (IoT) сталкиваются с угрозами от нескольких идентичных вирусов. Несколько дней назад был обнаружен новый ботнет под названием Ttint, использующий две уязвимости нулевого дня (включая CVE-2020-10987) в маршрутизаторах Tenda, о чём мы писали ранее.

В сентябре 2020 ботнет Mozi был уличен в том, что активно атаковал большое количество IoT-устройств, включая маршрутизатор Netgear, маршрутизатор Huawei, маршрутизаторы GPON, устройства D-Link и другие устройства от нескольких брендов.

Устройства интернета вещей по-прежнему считаются небезопасными звеньями в общем технологическом ландшафте и требуют иного набора мер защиты информации. Эксперты советуют пользователям регулярно производить обновления всех устройства Интернета вещей и менять пароль по умолчанию на более надёжный. Помимо прочего, регулярное сканирование всех устройств в корпоративных сетях на наличие любых вредоносных действий может помочь защитить от угроз взломов и утечек конфиденциальных данных.