Аналитики компании NewSky Security заметили, что автор ботнета Satori создал новый IoT-ботнет — Masuta. Интересно, что Masuta атакует в основном роутеры, но использует для этого не только приемы, хорошо знакомые со времен появления вредоноса Mirai, но эксплоит для старого бага в D-Link HNAP.
Если ранее ИБ-специалисты предполагали, что разработчик Satori – обычный скрипт-кидди, теперь эксперты NewSky Security пишут, что их коллеги явно ошиблись в оценке умений хакера. Создав Masuta, разработчик, известный под псевдонимом Nexus Zeta, доказал, что он далеко не новичок.
Изучив исходные коды малвари, найденные на закрытом хакерском форуме, доступном только по приглашениям, исследователи обнаружили две вариации вредоноса: Masuta и PureMasuta. Если первая версия представляет собой очередной, немного доработанный клон Mirai, то вторая версия активно эксплуатирует старую уязвимость в D-Link HNAP, чтобы пополнять ряды нового ботнета.
Данный баг позволяет осуществлять инъекции через Home Network Administration Protocol (HNAP) и исходно был найден еще в 2015 году в устройствах компании D-Link. HNAP базируется на протоколе SOAP (Simple Object Access Protocol) и позволяет администратору удаленно управлять сетевыми устройствами. Из-за уязвимости злоумышленник может обойти аутентификацию, использовав специально созданный SOAP-запрос, и в итоге получает возможность выполнить на уязвимом устройстве произвольный код.
По данным исследователей, оба варианта малвари делят один управляющий сервер, расположенный по адресу 93.174.93.63. Именно оттуда PureMasuta загружает shell-скрипт для атак на уязвимые устройства.
"Nexus Zeta явно не новичок в вопросах использования SOAP-эксплоитов. Злоумышленник уже был замечен в использовании двух других эксплоитов, связанных с SOAP (CVE-2014–8361 и CVE-2017–17215), которые он применял для своего проекта Satori", — пишут специалисты.
Таким образом, эксплуатация багов TR-069 и EDB 38722 становится уже третьим и четвертым инструментами в арсенале разработчика.
