Как сообщают исследователи компании Qihoo 360 Netlab, ботнет Satori снова вернулся к жизни. Новый вариант вредоноса инфицирует оборудование для майнинга криптовалюты с установленным ПО Claymore и заменяет пул и адрес кошелька владельца на адрес и пул злоумышленников. Атаки с использованием нового варианта Satori начались 8 января 2018 года. Как показал анализ кода вредоноса, за этими атаками стоит то же лицо/лица, что и за первыми атаками.
Оригинальный ботнет Satori появился в начале прошлого месяца и представлял собой сильно модифицированную версию печально известного Mirai. В отличие от «сородича» Satori взламывал устройства с помощью не брутфорс-атак, а эксплоитов для уязвимостей в устаревшей прошивке. Ботнет сканировал порты 52869 (уязвимость CVE-2014-8361 в Realtek SDK) и 37215 (уязвимость CVE-2017-17215 в маршрутизаторах Huawei). Эксперты по безопасности быстро отреагировали на угрозу и отключили C&C-сервер Satori спустя две недели после его появления.
После трехнедельного затишья ботнет снова напомнил о себе. Помимо двух вышеупомянутых эксплоитов, новая версия вредоноса использует еще один новый. Теперь Satori также сканирует порт 3333 и использует эксплоит для уязвимости в криптовалютном майнере Claymore. Из соображений безопасности исследователи не раскрывают подробностей об уязвимости. Тем не менее, известно, что она затрагивает интерфейс управления Claymore и позволяет злоумышленнику взаимодействовать с устройством без аутентификации.
С помощью вредоноса хакер заменяет пул и кошелек законного владельца на собственный кошелек и пул для майнинга Ethereum. К настоящему времени он успел заработать порядка $980. На случай, если владелец устройств заметит взлом, злоумышленник оставил записку, согласно которой проделанные им модификации не являются вредоносными (на самом деле, это не так).
Пул для майнинга – сервер, распределяющий задачу по расчету между всеми участниками пула. Как только один из них попадает в цель, формируется блок, и участники получают вознаграждение. У пула более высокие шансы найти блок транзакций и получить награду, чем у майнера-одиночки.
Источник: securitylab.ru
