A Fortinet descobriu recentemente um malware chamado Moobot, que foi amplamente distribuído por meio de uma vulnerabilidade de segurança em várias câmeras de vigilância ou segurança da Hikvision. Moobot é uma variante do conhecido malware de botnet Mirai.
Quando um dispositivo vítima é infectado, ele o transforma em membro de seu exército de botnet, aceita instruções dos atores da ameaça e lança ataques de negação de serviço distribuída (DDoS) contra alvos específicos.
Processo de infecção
Moobot explorou uma vulnerabilidade CVE-2021-36260 no servidor web das várias câmeras de vigilância da Hikvision para invadir.
Uma mensagem especialmente criada de comandos maliciosos enviada para dispositivos Hikvision com esta vulnerabilidade, que pode gerar esta vulnerabilidade e injetar código malicioso para infecção.
De acordo com a Fortinet relatórioO método de ataque aos produtos Hikvision é muito simples e nem precisa passar por nenhum procedimento de verificação de login, desde que uma mensagem de ataque especial seja enviada ao dispositivo alvo para ter sucesso.
Depois que o Moobot foi infectado, ele modificou alguns comandos comuns, como o comando “reboot” usado para reiniciar o dispositivo, para que o administrador não possa reiniciar o dispositivo hackeado.
Além disso, o Moobot apresenta vários elementos comuns do Satori, é também uma variante do botnet Mirai e, no verão de 2020, o autor do Satori foi preso.
Aqui estão as semelhanças do Moobot com o Satori: –
- Usando um downloader separado.
- A bifurcação do processo “/usr/sbin*”.
- Substituindo o arquivo “macHelper” legítimo pelo executável Moobot.
Inundações usadas
Incorporar o dispositivo comprometido em um enxame DDoS é o objetivo principal do Moobot, e neste processo de ataque o C2 envia diversas inundações com o endereço IP e número da porta alvo.
Aqui estão as inundações usadas pelo Moobot: –
- Inundação UDP
- Inundação ACK
- Inundação ACK+PUSH
- Inundação SYN
Porém, a vulnerabilidade CVE-2021-36260 já foi corrigida na nova versão do firmware da Hikvision lançada em setembro de 2021.
Mas, aqui, a maioria dos proprietários de produtos IoT dificilmente atualizarão o produto, em suma, ainda há um grande número de produtos sem patch que estarão no mercado, o que o tornará um alvo perfeito para hackers.
Embora os especialistas recomendem que os usuários verifiquem frequentemente se os produtos que possuem têm atualizações de segurança disponíveis ou não. Certifique-se também de que os produtos estejam atualizados com a versão mais recente, para evitar se tornarem alvos de invasores e ferramentas utilizadas pelos hackers para lançar ataques.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.