Hoaxcalls Botnet расширяет список целей и добавляет новые возможности DDoS аттак.

    Бот-сеть Hoaxcalls IoT (интернета вещей) расширила список целевых устройств и добавила новые возможности распределенного отказа в обслуживании (DDoS).

    Поставщик услуг защиты от DDoS Radware предупреждает, что ботнет Hoaxcalls Internet of Things (IoT) расширил список целевых устройств,

эксперты также отметили, что операторы внедрили новые возможности распределенного отказа в обслуживании (DDoS).

    Hoaxcalls были впервые обнаружены в апреле исследователями из Palo Alto Networks, они заимствовали код из ботнетов Tsunami и Gafgyt и нацелены на CVE-2020-5722 и CVE-2020-8515 недостатков, соответственно затрагивающих устройства серии Grandstream UCM6200 и маршрутизаторы Draytek Vigor.

    Обе уязвимости были оценены как критические (то есть оценка CVSS v3.1 9,8 из 10), поскольку их легко использовать.

Первоначально ботнет был разработан для запуска DDoS-атак с использованием потоков UDP, DNS и HEX.

Теперь исследователи безопасности из Radware сообщили, что обнаружили новую версию ботнета Hoaxcalls, нацеленную на исправленную проблему в ZyXEL Cloud CNM SecuManager. Эксперты также заметили, что в новом варианте реализовано 16 новых возможностей DDoS.

«20 апреля 2020 года

Исследователи Radware обнаружили новый вариант распространения ботнета Hoaxcalls с помощью незащищенной уязвимости, влияющей на ZyXEL Cloud CNM SecuManager ». отчет, опубликованный Radware. «Серия уязвимостей, влияющих на ZyXEL, была полностью опубликована Пьером Кимом 9 марта 2020 года. В дополнение к новому вектору распространения, бот-сеть Hoaxcall также добавила 16 векторов DDoS-атак в новый образец ».

    Кампании, наблюдаемые Radware, использовали несколько вариантов использование различных комбинаций эксплойтов и векторов DDoS-атак. Эксперты предполагают, что участник этих кампаний сосредоточился на поиске и использовании новых возможностей для создания бот-сети DDoS.

   20 апреля эксперты раскрыли мощный вариант ботнета, распространяющегося с одного сервера, а также показали, что количество хостинговых серверов сейчас превышает 75.

«Значительное увеличение возможностей атаки по сравнению с предыдущим образцом. Образцы, обнаруженные Radware, можно найти в URLhaus.

    Этот конкретный вариант распространяется только через уязвимость SQL-инъекции GrandStream UCM CVE-2020-5722. За первые 48 часов обнаружения наши датчики зафиксировали 15 уникальных IP-адресов, распространяющих вредоносное ПО с сервера, размещенного по адресу 176.123.3.96. Сегодня число серверов, размещающих вредоносные программы, выросло до 75 ». сказано в докладе.

     «При первоначальном осмотре образец, по-видимому, был связан с Tsunami, но при более позднем повторном анализе образец вернул более тесную связь с Hoaxcalls».

Последний вариант, обнаруженный экспертами и отслеживаемый как XTC, расширяет список целевых устройств, включая уязвимость для проблемы в ZyXEL Cloud CNM SecuManager.

«Кампании, выполняемые актером или группой за XTC и Hoaxcalls, включают в себя несколько вариантов, использующих различные комбинации эксплойтов и векторов атак DDoS».

«Мы считаем, что группа, стоящая за этой кампанией, посвящена поиску и использованию новых эксплойтов с целью создания ботнета, который можно использовать для крупномасштабных DDoS-атак», говорят исследователи.