Murdoc Botnet: как базовые команды Linux стали оружием злоумышленников

Компания Qualys обнаружила новую активную кампанию ботнета Mirai, названную Murdoc Botnet. В ходе исследования выяснилось, что злоумышленники используют уязвимости в устройствах AVTECH и роутерах Huawei HG532 для создания обширной сети ботнета. Эта атака выделяется улучшенными механизмами распространения и заражения устройств.

Кампания Murdoc Botnet началась в июле 2024 года. Анализ показал, что используется исполняемый ELF-файл и Shell-скрипты для загрузки образцов вредоносного ПО на целевые устройства. Подобные методы уже применялись в 2024 году для аналогичных атак.

Эксперты выявили более 1300 IP-адресов, задействованных в этой кампании, а также свыше 100 серверов управления, распределяющих вредоносное ПО. Эти серверы выполняют команды злоумышленников, что позволяет эффективно управлять заражённой сетью.

Murdoc Botnet ориентирован на устройства с уязвимостями ( CVE-2024-7029, CVE-2017-17215 ). Исследование подтвердило использование команд для загрузки вредоносных файлов на устройства, таких как IP-камеры и IoT-устройства. При этом злоумышленники активно применяют базовые команды Linux для выполнения вредоносных скриптов.

В ходе кампании были проанализированы более 500 образцов, включающих ELF-файлы и Shell-скрипты. Они использовались для автоматической загрузки новых версий Mirai на устройства, что подтверждает масштабный характер атаки.

Анализ географического распределения атак выявил, что больше всего пострадали Малайзия, Таиланд, Мексика и Индонезия. Это указывает на глобальный характер кампании.

Рекомендации по защите включают регулярное обновление систем, мониторинг подозрительной сетевой активности и осторожность при выполнении скриптов из неизвестных источников. Соблюдение правил кибербезопасности и своевременное устранение уязвимостей поможет минимизировать риски от подобных угроз.