Киберпреступники пытаются распространить несколько вариантов Mirai, используя критическую уязвимость Wazuh, говорят исследователи. Это первое сообщение об активных атаках с момента обнаружения ошибки при выполнении кода.
Данная уязвимость, отслеживаемая как CVE-2025-24016 (9.9), связана с удаленным выполнением кода (RCE) и затрагивает XDR-решение с открытым исходным кодом и SIEM-решение Wazuh, которое используется более чем 100 000 предприятиями по всему миру, включая несколько компаний из списка Fortune 100.
Опубликованные в феврале недавние атаки ботнетов являются первыми зарегистрированными случаями активного использования уязвимости, которая в настоящее время не указана в каталоге KEV CISA.
Исследователи из Akamai обнаружили первые попытки взлома серверов с использованием CVE-2025-24016 в начале марта, что, по их словам, свидетельствует о том, что в отрасли становится все меньше времени для проведения атак, особенно когда речь заходит о ботнетах.
Как и в случае с Mirai, сценарии оболочки, используемые в этих ранних атаках, в первую очередь нацелены на ряд устройств Интернета вещей, а злоумышленники, стоящие за ними, используют несколько давних вариантов, таких как LZRD и V3G4.
Эти варианты также пытаются использовать дополнительные уязвимости, в том числе более старая ошибка внедрения команд, затрагивающая маршрутизаторы TP-Link Archer AX21, эксплойт RCE для маршрутизатора ZTE ZXV10 H108L 12-летней давности и уязвимость в Hadoop YARN.Второй ботнет, нацеленный на ту же уязвимость Wazuh, делал это совсем недавно, в начале мая. Было замечено, что ботнет, известный как Resbot, запускал скрипты для загрузки Mirai, а также для других устройств Интернета вещей.»Одной из интересных особенностей, которые мы заметили в этом ботнете, был связанный с ним язык», — сказали исследователи Akamai Кайл Лефтон и Дэниел Мессинг. «Для распространения вредоносного ПО использовалось множество доменов, и все они имели итальянскую номенклатуру. Такие домены, как «gestisciweb.com,», например, примерно переводятся как «управление вебом».
«Они похожи на вредоносные доменные имена, которые часто используются для фишинговых атак, потому что они выглядят гораздо более легитимными, чем их C2 «resbot.online», который, несомненно, является мошенническим доменом. вредоносный домен. Лингвистические соглашения об именовании могут указывать на кампанию, направленную, в частности, на устройства, принадлежащие италоязычным пользователям и управляемые ими».
Как и в случае с первым ботнетом Mirai, Resbot также был замечен пытающим удачу в борьбе с различными другими старыми уязвимостями, в том числе с уязвимостями Zyxel и Huawei в маршрутизаторах 2017 года, и критический недостаток в SDK Realtek от 2014 года.
Атаки нацелены на активные серверы Wazuh, на которых установлены устаревшие версии, но команда разработчиков платформы безопасности с открытым исходным кодом выпустила исправление для CVE-2025-24016 в октябре 2024 года (версия 4.9.1). Обновление до этой версии или любых более новых доступных уровней предотвратит эти атаки ботнета.Атакам с использованием этой уязвимости, несомненно, способствовало бы полное подтверждение концепции (PoC), предоставленное независимым исследователем в течение двух недель после обнаружения ошибки.
Всякий раз, когда код эксплойта становится общедоступным, появление успешных атак с использованием этих данных, как правило, становится вопросом времени.Исследователи Akamai заявили, что ботнет Mirai использовал точно такой же PoC, как и общедоступный, в то время как Resbot использовал измененную версию.
«Попытки исследователей донести до организаций важность уязвимостей путем создания POC продолжают приводить к плачевным результатам, показывая, насколько сложно следить за обновлениями после их выпуска», — написали Лефтон и Мессинг в своем блоге.
«Операторы ботнетов отслеживают информацию о некоторых из этих уязвимостей, и, особенно в тех случаях, когда доступны POC—коды, они быстро адаптируют PoC-код для распространения своей ботнет-сети».
Kaspersky также сообщил об отдельной волне усилий по расширению Mirai кампания нацелена на устранение уязвимостей в цифровых видеомагнитофонах, хотя считается, что эти кампании организованы разными операторами. ®
