Una nuova campagna di attacco che utilizza le istanze aggiornate del Hide ‘N Seek IoT botnet stanno attualmente attaccando gli utenti in tutto il mondo. L'analisi di sicurezza dei campioni catturati vetrina che il codice aggiornato una vasta gamma di supporto database server. Questo dà l'hacking gruppi un'arma formidabile che essi possono utilizzare in attacchi avanzati.
Hide ‘N Seek IoT Botnet aggiornato con nuove funzionalità
ceppi appena catturati della pelle ‘N Seek degli oggetti botnet sono stati trovati per contenere una base codice aggiornato. I ceppi catturati rivelano che le nuove versioni del malware possono indirizzare i vari server di database che presenta in tal modo una minaccia ancora più grande.
Il prime versioni di Hide ‘N Seek sono stati trovati nel mese di gennaio nelle campagne globali di grandi dimensioni che sono stati in grado di infettare migliaia di dispositivi in modo rapido. L'analisi condotta mostra che gli hacker dietro le infiltrazioni utilizzate numerose vulnerabilità di trovare un punto debole e infettare l'host di destinazione. Con l'inizio di maggio 2018 le statistiche indicano che la botnet ha infettato oltre 90 000 host. Altre aggiunte ad esso in quel momento incluso un nuovo modulo di persistenza.
Tali aggiunte riconfigurare le impostazioni del sistema di destinazione per avviare automaticamente il malware una volta che il dispositivo è acceso. Si riconfigura le impostazioni di avvio al fine di bypassare eventuali servizi o applicazioni che possono interferire con la sua corretta esecuzione. Se i dispositivi Windows sono il infetti, il motore può modificare il rispettivo voci di registro modificando quelli appartenenti al boot manager, inoltre può installare voci appartenenti alla stessa.
Hide ‘N Seek IoT Botnet meccanismo di infezione
Le infezioni sono fatte in modo P2P, che non si basano su una posizione centralizzata da cui gli attacchi sono stato fatto. Questo rende molto più efficace come gli amministratori di sicurezza avrà un tempo molto più difficile filtrare i padroni di casa pericolosi.
Le versioni più recenti del Hide ‘N Seek IoT botnet è stato trovato per includere gli exploit più recenti che hanno come target vulnerabili Cisco Linksys router e AVTECH webcam. Il motore ha ora un ulteriore 171 nodi P2P hardcoded e altre funzionalità aggiunte come un criptovaluta minatore. Questo consente di installare un'istanza di software che fa uso delle risorse di sistema disponibili al fine di generare attività in valuta digitali che vengono generati automaticamente al portafogli del degli hacker.
Il motore utilizza un infezione port scanner che sembra essere presa dalla botnet Mirai. L'analisi mostra che sembra di porte aperte ai servizi comuni (porti 80, 8080/2480, 5984 e 23) e altri quelli selezionati casualmente. Una nuova aggiunta è la possibilità di infettare i database - sia OrientDB e Apache CouchDB sono supportati.
Ci sono tre modi distinti botnet possono contattare l'altri peer che formano la rete:
- Come contattare l'elenco incorporato dei Pari.
- Specificati degli argomenti della riga di comando.
- Come indicato dal altri peer.
Quando le istanze vengono avviate senza argomenti The Hide ‘N Seek IoT Botnet nodo locale invierà una serie di pacchetti UDP check-in al fine di segnalare l'infezione.
Il motivo per cui la Nascondi N’ Seek degli oggetti botnet è temuto come arma di hacking efficace è la motivazione dietro di esso. I criminali sembrano indirizzare sia le imprese e agenzie governative con l'aggiunta di nuove funzionalità di infezione. Gli aggiornamenti più recenti possono anche segnalare una campagna globale diffusa nei confronti degli utenti finali che impiegano spesso webcam e dispositivi internet degli oggetti come parte dei loro acquisti di attrezzature intelligenti casa.
Se la botnet viene usato per provocare sabotaggio per i padroni di casa infetti allora questo può essere fatto attraverso l'uso del motore di manipolazione di database. I criminali possono utilizzare per cancellare, manipolare o dirottare le informazioni memorizzate, così come pianta virus nelle padroni di casa delle vittime.
Altri danni che può essere inflitta comprende comportamento cavallo di Troia. In questo caso viene stabilita una connessione sicura a un server o P2P nodo hacker controllato. Attraverso di essa i criminali possono spiare le vittime in tempo reale, così come prendere il controllo dei dispositivi e distribuire altre minacce.
La caratteristica pericolosa di infezioni botnet è che in molti casi gli utenti vittime possono non avvertire alcun sintomo.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: