В мае 2023 года появился новый ботнет Condi, ориентированный на DDoS-атаки по найму.
Для построения ботнета и проведения атак вредонос использует уязвимости в Wi-Fi-маршрутизаторах TP-Link Archer AX21 (AX1800).
Специалисты сообщают, что малварь Condi нацелена на уязвимость CVE-2023-1389, связанную с инъекциями команд без аутентификации. Баг позволяет добиться удаленного выполнения кода через API интерфейса управления маршрутизатором.
Эта проблема была обнаружена на хакерском соревновании Pwn2Own в декабре прошлого года, а в марте 2023 года разработчики TP-Link выпустили до версии 1.1.4 Build 20230219, где баг был исправлен. Стоит отметить, что эту уязвимость в конце апреля уже в работе Mirai-ботнет.
В отчете исследователей отмечается, что злоумышленники, стоящие за Condi, не только сдают мощности своего ботнета в аренду, но и продают исходный код своего вредоносного ПО, то есть занимаются весьма агрессивной монетизацией, результатом которой станет появление многочисленных форков малвари с различными функциями.
Так как упомянутая уязвимость используется не только Condi, вредонос имеет механизм, который ликвидирует любые процессы, принадлежащие ботнетам-конкурентам, а также останавливает собственные старые версии.
Поскольку Condi не имеет механизма закрепления в системе и не сохраняется после перезагрузки устройства, его авторы придумали удалять следующие файлы, что предотвращает выключение или перезапуск устройств:
Также исследователи упоминают, что некоторые образцы Condi используют для распространения не только CVE-2023-1389, но и другие баги, то есть, похоже, хакеры экспериментируют с механизмом заражения.
Кроме того, аналитики обнаружили образцы, в которых используется шелл-скрипт с ADB (Android Debug Bridge), то есть, похоже, вредонос распространяется и через устройства с открытым портом ADB (TCP/5555). Предполагается, что это следствие того, что исходный код Condi уже купили и скорректировали под свои нужды другие хакеры.
Для построения ботнета и проведения атак вредонос использует уязвимости в Wi-Fi-маршрутизаторах TP-Link Archer AX21 (AX1800).
Специалисты сообщают, что малварь Condi нацелена на уязвимость CVE-2023-1389, связанную с инъекциями команд без аутентификации. Баг позволяет добиться удаленного выполнения кода через API интерфейса управления маршрутизатором.
Эта проблема была обнаружена на хакерском соревновании Pwn2Own в декабре прошлого года, а в марте 2023 года разработчики TP-Link выпустили до версии 1.1.4 Build 20230219, где баг был исправлен. Стоит отметить, что эту уязвимость в конце апреля уже в работе Mirai-ботнет.
В отчете исследователей отмечается, что злоумышленники, стоящие за Condi, не только сдают мощности своего ботнета в аренду, но и продают исходный код своего вредоносного ПО, то есть занимаются весьма агрессивной монетизацией, результатом которой станет появление многочисленных форков малвари с различными функциями.
Так как упомянутая уязвимость используется не только Condi, вредонос имеет механизм, который ликвидирует любые процессы, принадлежащие ботнетам-конкурентам, а также останавливает собственные старые версии.
Поскольку Condi не имеет механизма закрепления в системе и не сохраняется после перезагрузки устройства, его авторы придумали удалять следующие файлы, что предотвращает выключение или перезапуск устройств:
- /usr/sbin/reboot
- /usr/bin/reboot
- /usr/sbin/shutdown
- /usr/bin/shutdown
- /usr/sbin/poweroff
- /usr/bin/poweroff
- /usr/sbin/halt
- /usr/bin/halt
Также исследователи упоминают, что некоторые образцы Condi используют для распространения не только CVE-2023-1389, но и другие баги, то есть, похоже, хакеры экспериментируют с механизмом заражения.
Кроме того, аналитики обнаружили образцы, в которых используется шелл-скрипт с ADB (Android Debug Bridge), то есть, похоже, вредонос распространяется и через устройства с открытым портом ADB (TCP/5555). Предполагается, что это следствие того, что исходный код Condi уже купили и скорректировали под свои нужды другие хакеры.
