Kiberjinoyatchilar Hakai va Yowai botnetlarini kengaytirish uchun ThinkPHPdagi zaiflikdan foydalanadilar
ThinkPHPdagi zaiflik bilan bir qatorda, Yowai Realtek SDK, Linksys va Dasan routerlari hamda DVRlardagi xatolardan foydalanadi.
Trend Micro tadqiqotchilari Mirai va GafGyt zararli dasturlarining mos ravishda Hakai va Yowai deb nomlangan variantlarini tarqatuvchi yangi kampaniyani aniqladilar. Hujumchilar o’z hujumlarida o’tgan yilning dekabr oyida yamalgan ThinkPHP tizimidagi zaiflikdan veb-serverlarni buzish va Hakai va Yowai botnetlarini yanada kengaytirish uchun foydalanadilar. Tadqiqotchilarning tushuntirishicha, kiberjinoyatchilar ThinkPHP yordamida yaratilgan veb-saytlardan lug’at hujumlari orqali serverlarni buzish uchun foydalanadilar. Keyin bu marshrutizatorlardan kuchli DDoS hujumlarini amalga oshirish uchun foydalaniladi.
Yowai botneti boshqa Mirai variantlari bilan bir xil konfiguratsiya jadvaliga ega va boshqa zaifliklar bilan birga ThinkPHP ekspluatatsiyasidan foydalanadi
Yowai C&C serveri bilan 6-port orqali aloqa o’rnatadi. Routerni yuqtirgandan so’ng, botnet darhol boshqa qurilmalarni yuqtirish uchun lug’at hujumini amalga oshiradi, keyin ular Yowai tarkibiga kiradi.
ThinkPHPdagi zaiflik bilan bir qatorda, Yowai Realtek SDK, Linksys va Dasan routerlari hamda DVRlardagi xatolardan foydalanadi.
Hakai botneti ilgari faqat IoT qurilmalarini nishonga olgan edi, ammo yangi kampaniyada operatorlar bir qator ekspluatatsiyalarni qo’shdilar, jumladan, ThinkPHP va D-Link DSL-2750B routerlaridagi (CVE-2015-2051, CVE-2014-8361 va CVE-2017-17215) zaifliklar uchun.
