Киберпреступники используют уязвимость в ThinkPHP для расширения ботнетов Hakai и Yowai
Наряду с уязвимостью в ThinkPHP Yowai эксплуатирует баги в Realtek SDK, маршрутизаторах Linksys и Dasan, а также в видеорегистраторах.
Специалисты компании Trend Micro обнаружили новую кампанию по распространению вариантов вредоносного ПО Mirai и GafGyt, получивших названия Hakai и Yowai соответственно. В ходе атак злоумышленники использую исправленную в декабре прошлого года, уязвимость в фреймворке ThinkPHP для взлома web-серверов и дальнейшего расширения ботнетов Hakai и Yowai. Как поясняют исследователи, киберпреступники используют сайты, созданные с помощью ThinkPHP, для взлома серверов через атаки перебора по словарю. Эти маршрутизаторы в дальнейшем используются для осуществления мощных DDoS-атак.
Ботнет Yowai имеет ту же таблицу конфигурации, что и другие варианты Mirai, и использует эксплоит для ThinkPHP наряду с другими уязвимостями.
Yowai осуществляет связь с C&C-сервером через порт 6. После инфицирования маршрутизатора ботнет сразу производит атаку «перебор по словарю» для заражения других устройств, которые затем становятся частью Yowai.
Наряду с уязвимостью в ThinkPHP Yowai эксплуатирует баги в Realtek SDK, маршрутизаторах Linksys и Dasan, а также в видеорегистраторах.
Ботнет Hakai ранее атаковал исключительно IoT-устройства, однако в новой кампании операторы добавили ряд эксплоитов, в том числе для уязвимости в ThinkPHP и маршрутизаторах D-Link DSL-2750B (CVE-2015-2051, CVE-2014-8361 и CVE-2017-17215).
