گسترش بات‌نتی مبتنی بر Mirai
بات‌نت Echobot در کمین برنامه‌های Oracle و VMware
کد مطلب: 15470
تاریخ انتشار : دوشنبه ۲۷ خرداد ۱۳۹۸ ساعت ۱۳:۱۸
 
برنامه‌های Oracle و VMware به هدفی برای بات‌نت جدیدی به نام Echobot تبدیل شده‌اند.
بات‌نت Echobot در کمین برنامه‌های Oracle و VMware
 
 
Share/Save/Bookmark
برنامه‌های Oracle و VMware به هدفی برای بات‌نت جدیدی به نام Echobot تبدیل شده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بات‌نت جدیدی با نام Echobot کشف شده‌است که از ۲۶ اکسپلویت مختلف برای نفوذ به دستگاه‌های آسیب‌پذیر استفاده می‌کند. اکثر اکسپلویت‌ها برای دستگاه‌های اینترنت اشیا (IoT) آسیب‌پذیر هستند، اما برنامه‌های سازمانی مانند Oracle WebLogic و VMware SD-Wan نیز مورد هدف این بات‌نت هستند.

بات‌نت Echobot مبتنی‌بر بدافزار Mirai است و مشابه صدها بات‌نت دیگر، پس از انتشار کدمنبع Mirai توسعه یافته است. این بات‌نت ابتدا در اوایل ماه میلادی جاری کشف شد که دارای ۱۸ اکسپلویت برای نفوذ بود.

اخیرا نسخه جدیدی از Echobot شناسایی شده که ۸ اکسپلویت جدید به آن اضافه شده است. اکثر اکسپلویت‌های این بات‌نت از آسیب‌پذیری‌های اجرای دستور شناخته شده در دستگاه‌های مختلف شبکه سوء استفاده می‌کنند. این اهداف شامل دستگاه‌های ذخیره‌ساز متصل به شبکه (NAS)، مسیریاب‌ها، دستگاه ضبط ویدئویی تحت شبکه (NVR)، دوربین‌ها و تلفن‌های IP، و سیستم‌های ارائه بی‌سیم هستند.

در نسخه جدید Echobot سرورهای Oracle WebLogic و نرم‌افزار VMware SD-WAN که برای سرویس‌های ابری، دیتاسنترهای خصوصی و برنامه‌های سازمانی اجاره نرم‌افزار (SaaS) استفاده می‌شود، نیز به اهداف اضافه شده‌اند.

لیست ۲۶ آسیب‌پذیری مورد هدف این بات‌نت موارد زیر است:
• CVE-۲۰۱۸-۱۱۵۱۰
• CVE-۲۰۱۸-۱۵۸۸۷
• CVE-۲۰۱۹-۱۲۷۸۰
• CVE-۲۰۱۹-۳۹۲۹
• CVE-۲۰۱۸-۱۱۱۳۸
• CVE-۲۰۱۷-۱۴۱۳۵
• CVE-۲۰۱۷-۵۱۷۳
• CVE-۲۰۱۸-۲۰۸۴۱
• CVE-۲۰۱۷-۱۸۳۷۷
• CVE-۲۰۱۸-۱۴۹۳۳
• CVE-۲۰۱۹-۲۷۲۵
• CVE-۲۰۱۴-۸۳۶۱
• CVE-۲۰۱۸-۱۷۱۷۳
• CVE-۲۰۱۸-۷۸۴۱
• CVE-۲۰۱۶-۶۲۵۵
• CVE-۲۰۱۸-۶۹۶۱
• CVE-۲۰۱۹-۳۹۲۹
• CVE-۲۰۱۷-۱۸۳۷۷
• CVE-۲۰۱۰-۵۳۳۰
• CVE-۲۰۰۹-۵۱۵۶
• CVE-۲۰۰۹-۲۷۶۵
• CVE-۲۰۱۳-۷۴۷۱
• CVE-۲۰۰۹-۵۱۵۷
• CVE-۲۰۱۶-۱۰۷۶۰
• CVE-۲۰۱۳-۵۷۵۸
• CVE-۲۰۰۹-۰۵۴۵

وجود آسیب‌پذیری‌های قدیمی در این لیست نشان می‌دهد که دستگاه‌های وصله نشده همچنان وجود دارند و اهداف مناسبی برای بات‌نت هستند.

نشانه‌های آلودگی (IoC):
هش‌ها:
• ۱۳d۳b۴۵۴۵b۱۸f۴۱cf۸۹ad۹d۲۷۸۴۳۴b۳fb۶۰a۷۰۲edebdde۶۰۵ced۷۴۵db۴۷ce۵۸d
• ۲۲e۳۳a۱۶b۰۳c۲ca۶b۱e۹۸b۹c۶fe۱f۱cc۱۸d۸۴eef۴bb۷۹۲۴۷۶۴۲ccf۳۷۹۶۰aaad۸
• ۲۵e۹۵۹a۰۷۱e۶۳۱۰۸۸۸۱۶ed۸۷۹۹۱۴۸۲b۸۷۷۶a۸۱۳۷۷f۰fa۷a۸f۵۳eca۹a۷af۳afe۱
• ۲ad۲۸۴d۶۲۹۷۴۲۰e۹cdb۳a۲bd۹f۰۸۲۴c۳۱۲۲c۸۶۱f۳۷b۵۸ea۱۷۶۷۵e۰f۵۷۹۹f۰۲۹e
• ۳۶b۱۳۹۱b۸۴f۴۸a۰f۳b۲۰b۳۸۳۱۲۵۰b۶۸۱dfa۴a۵aeb۷a۲۶۸۱۶da۷۲۳a۰۶۹۹۱d۵۰۲۹
• ۷۳fe۰ed۱e۸۵d۵۴۷d۱۹acd۷۲۰b۱d۶۷fb۹۴۰۵۹a۰۰۷a۳۵f۶۸۵b۳bd۱۶۶۲۷۸۷۹d۴c۴۷
• ۷d۹af۴۱abec۸cc۹۳a۹۱۸۵dfdb۲۵۶b۸۶۴fa۵c۹e۶۷e۱۶۱۹۲f۷۱۸d۷faa۰e۱۸۱۷۷e۸
• ۹۵c۷۵۱۶abf۸c۷۳۸۴۲۳cd۱۸f۰c۹۰۵baa۶۵d۳۸ba۵۲۵۹b۶۸۵۳۷۷۷۵۵۰۵۰۵۰۱۹ba۸cd
• b۷۳add۳۸۷۱۳b۷۰ca۵۲۹c۸۳۸۷۲۷۵fca۰bbf۵f۵۴۸۸f۲be۵ebc۱۷c۴f۱f۳۴b۰۶bd۲۶
• ed۴d۹۲۰cd۵۴b۸۷۱۶۷d۰ad۲۲۵۶bf۹۹۶c۸fdac۳ac۳bd۵dd۵ccb۰b۶c۲d۵۵۱۲۲۶۱۸۴
• f۰۲e۲۴۴۳c۲۵۰e۷۸۸۷۷f۹b۱۸۴ab۹۴۶۹۳f۴e۸dba۸c۲۱۹۱c۹d۰۳۸۵۷۶۶۴e۷۱۹۸۷۹۷۶
• f۹ee۷e۰a۴deac۹۰۸e۶fbacf۷baa۴f۱d۳bb۱۳۸ebe۲a۳f۹۲۳۶a۶۱f۵d۷۶۴۱۸۱df۰a
• ۲۲۸ca۵۱۹۰۵۴dd۶۲aadfa۳۶۰fcf۸f۷۴e۳۰۷۲a۴f۶ffde۵۲۱e۴۷db۲۳۳a۶۰۴۳۲۰a۱۶
• ۲f۲۱e۸ed۱dce۷۷c۲cd۰۰۸۰c۵۲۹۰۴۳cff۱c۱ff۵f۲۲ba۳۹dcd۱a۲۲۲۰e۱۷f۲۷۳ba۵
• ۳c۲۶c۹db۵۳۹b۳c۱b۵۵۶b۸۶dff۳c۵b۰e۸۱۹dbdce۵۲۲۳۴dda۷۰۲۵۹۷۹d۰۵ff۹d۱۸۸
• ۶۵b۰۳b۴۰eafc۶۰d۰fa۳b۱۳c۵۱dc۱cfbc۷۲۰e۷۶d۲a۳b۱f۵f۳c۷۸de۵۷۸۵۶b۸e۶۰f
• ۶۸e۶۲۷۲۴۵۳۰۴۰۱۴۰۰۷۲۴a۷۵dd۲fe۰۷dc۰db۶a۸۳۷۳be۷۸۶۱d۶۵۸۹۶b۳۳۰۳۹c۶۳۲f
• ۸۱d۶۳۳۱۹۹۵۱۳۳۴eb۸fb۷۴۸d۸۹۷a۷۷f۶۱۰d۳۲۵۰d۷۹۵e۰a۱۳۴۲۵۲e۶۸۹f۸db۶۷۲c۴
• ۸f۶f۳۸۳۴d۲۹۲ef۸۴eada۵۰۰۸۳۲efea۳c۴۵a۰fc۰۲۶۱bc۴be۸۸۸۸۴۱۴bfe۳۱۸۰۳c۳
• ۹eebd۳۸۴fa۶d۴d۴۵۶۴۸a۷۴dfe۰aad۸fe۲b۹bc۹b۹۰۷e۶f۳b۴۷۴ca۷۷e۸۳bbf۶۳bb
• c۲۸۲ad۷bb۶۵۵۸cbdcb۴e۷c۰۷db۴a۷f۲۰۱۷۹۲dd۲۵۰a۳۱۷۱۸d۸۱۱b۷۸e۳۴fd۶a۲۸۳
• d۵ea۲۵۳efcc۰۴۲ee۰a۸۵ffdd۴۶۷۳۷۳۸b۵۸۵۹ddacabca۰۶dc۲ff۱۱f۸۱b۷d۰۹۸۳f
• dbf۷۰f۸۴۹e۰۹۴۴۱af۶۶۸۲۴۵f۳ba۷۴۹۱be۲۲۷۴۴۷c۳۶e۷۲۴۴bbbf۲۷۸۷e۵۰۳۵۹۹a۷
• ۲dd۸۹d۸۲۱۴c۷۶b۳ce۷b۶a۳۰۱ad۸۲۵۶fba۵ac۹f۳e۴c۰b۳e۱۰e۱۴c۶۰۷۵۷۶۴f۰e۴d
• ۵۰۹۱da۱a۱fa۵۱f۷۷ac۶۴f۷۵ab۹c۲۳da۸۸۴۶۹۱۶۰f۰۴۰a۱۸۹ec۱e۶a۰e۹۵۲a۲۶۷۲۰
• ۵۶۳afb۰۵bb۵a۶۸c۸b۲۳۵۱۴۳dde۰۸۱c۴۴e۰۶ed۲۶۷۴۶۸۱۶۲۹c۶۰۱۱۶ce۱b۹۲a۷cee
• ۶۱d۱۸۱۶۶f۳۹ccdc۸۵e۵۱e۹a۶cd۱a۸ec۷f۸c۱c۱d۲۲۷d۸۴b۹ca۹۴ef۸۴۷d۰b۱a۷۹c
• ۶cdce۷۷۵۸۴۶۸۶۸۵f۸c۱۲۵bff۲c۳c۱f۱۹۶fe۴۳f۳۰e۱۰c۷fb۶۴۳a۶۷b۷d۵e۲ae۲f۲
• ۸۳۸۴۱e۵f۹۶۵cb۷e۰۳bf۵f۰c۵da۲۱۷a۲۲b۳۰۷ddd۱۳۸a۳b۸b۸ec۵dc۸f۱۱۱f۲۶۱۶۵
• ۸ba۲۶e۹۸۷۱۰f۳e۵۵۶۷۷a۷eaea۱۹a۶۵۶e۳ef۷۱۳۶e۹۴f۸۱ecb۵b۰۵cfdc۹۶۵۸۶d۶۵
• ۹۴۷۶bfe۱eb۹۹b۰۰c۰۲a۳a۶c۵۳۹d۱a۰۶۰b۸۷e۴c۵۳۶۱۷fa۵b۲۹۴۹cdd۴۴c۱cbc۹۲b
• b۴۴۴۳e۱bbd۲۷۰۶۲c۸eb۲bfd۷۹۱۴۸۳a۷۷۷ac۰۰۳ce۸d۴۷a۹ce۴۳f۲۸۶۱f۰ad۷۰f۹۴
• c۲۴۴۰a۱e۱۹ae۸f۵۲۷۰۶۱a۶۶۶fa۵۹eb۴۵۷f۳c۱c۸f۶d۵b۹۸۱f۹c۱f۵bf۸a۴c۶۲f۶۱
• f۶۴cad۴ce۴af۸debf۱۹۵۱d۴deca۰dd۸۶acd۳a۸۳۴۰۹۱۴۰cb۰۵۴۴ea۲۷d۱۵۵e۰۴ab
• ۰۴۶a۰۷۷bd۳ded۸۳b۹۰۶۶۳۵۰۸۶۲d۲۰۴afb۰۴dfe۰۴b۷۱۸۲۷de۸f۶۰۹۲۹e۲f۷d۴e۴۴
• ۰۶۳۹e۸۱۱۱۲۵۳۱۳۳a۶۱۷cd۰f۱۱۹c۱ef۷۰۵۶۰de۰f۰۴۴add۰۸۴c۰۲۰۰a۱a۴fd۶۹۵۲e
• ۰۹۸c۷f۹c۸c۸c۶۳d۸d۷۹۳۸۷۲۷۴f۰fe۵۴۱۶۷۰۲abcb۶۵۰b۹۸۳۴۲۶e۱۱۶f۱۹۳b۸۲e۶۱
• ۱۲۱e۶d۲۰۸۵۲۲e۱abccacd۵۱f۸۲f۰۳a۹۱۷۸۶۸۰c۲۲۲eff۵۳۳۶b۸۴b۶f۸۶a۷۷۰a۴۵۳
• ۵۰۷۰aa۶۲۸۶۶۶۵۲e۵۳۳۷۰۱ee۳۲۷d۶a۷۷ec۲۸۹cca۰deae۸fa۹۵۳d۶۹f۹d۱۲c۸۹c۵۵
• ۷ffb۶۵۸d۰۹c۵c۵۵c۰۴ac۱cef۴e۱e۳c۴۲۸c۰۳۶۳۱۳۰۳۸۱e۰aef۸c۷۶۹ea۱۱c۶۴۳۷۰
• ۸۷۱۹۵d۵۲۶۲c۲۰۵b۳۳۵۶cfe۸۱۵d۶۰d۴۱a۱۱a۸f۵۶۳b۴cd۴abd۷۵da۷۳۱۲۸e۰۲f۸۶c
• ۹dc۳e۲fc۲۷e۱۳۸a۵۸۸e۶a۲۵dc۵۴۳۲d۷۸f۰۹۳۰۰۴۶۲۸۶fc۶۴b۹c۶۵۲۴۶beda۱۹a۴۵
• b۳e۵۷۲۶e۵۶f۶۰۴۶۵۶a۳۲۲fc۶c۶۲۵۸۵e۷۳f۵۹۴d۰۵۳d۶۸۹۱c۳fa۹۴c۳fff۴۱f۳۰cb
• b۴۴b۶۵۸۷۱۶cf۱۳۲۶ad۲۷e۵۸b۱a۴۵c۹۶۶۸۴f۶۱۸۲d۲a۵d۸۵۹۶fb۸fd۷e۶۰۶۵۶a۲۴۱
• b۴a۳۷۰ff۳d۵۹d۴۳۹۲۴ace۶c۸ef۳۴df۵۵b۶e۴۵b۴dcff۲f۰f۲db۳۶bbb۴۰e۶c۲۰۳e
• ۲۲ff۳cc۰۳۱c۹ae۴۳۷۵۷۰۳۰a۱cb۱a۸fc۰۹۱۷۱f۳۷۰۴۶۹b۷۹۷۷۰faaca۳eb۵dbbfef
• ۳۸۵d۲۶۲۴۹۶۲۲f۶۵۶۹۲۴۲۳۳۱۲۸۴۶feed۶eba۹۶cea۵d۶e۰bfbfa۷۵۵۳۰۷۹۸۵cb۸cd
• ۶۲۱e۱۷۸۱۱۲۲۸b۸ea۵۵۹a۲f۶۹۰۵۲۳۵fcbcc۵۹e۷c۰۶b۹c۳۸۰۹۶۲aca۳fcac۱۵۶۰۰c
• ۷۲۹d۳b۳۳۶۳bd۶۹b۲cc۶۰b۹۶۰۰ea۹۱۲۲۳۳۶۱۰۲۱f۷۵b۶f۷۴۸۴a۴۹ead۹۵a۳۲۵b۶۰c
• ۹۷۰۷۸۳c۲e۳۵۸b۱۲۳۸f۸e۵۷۱۹۸۹caf۶۹۶f۶af۵۸۵dccad۶۴dd۲۱bf۱۷۰۳۸۳۵b۸۰d۱
• be۷f۵۶a۵۸a۹۰۸۱۲۵ce۲۰۶۶fb۰۶۹۱d۹f۹eef۸۶۸۵۰۹a۵d۵۳f۰۸e۸۳۶۲f۲۱۵۴۲b۷۶c
• cb۸b۴d۳d۲۴۶۰۷۷۳۱cdffa۷۰۱۵eb۶۲۹۹۳۷۳۸۷۰c۵۳a۸۵۴b۴a۲۳۶۵۷f۸ede۵۳۱۱۳c۶
• e۸df۱d۷۶۶fc۳۷۶۳ffa۷۹۶۶۳۹۲۰f۴۷f۱۵۸ec۵۵۶۰۵fdbf۸bf۵a۵۵fcdcfe۶۱be۷۸d
• e۹۴۴۸۲b۰۳۸۲aa۷۹۰۷c۴۱c۳۲۹۷۷۲۰۸۵c۲۸۸e۵۵dd۴b۸ffd۲۸۲۷۷۱۳۱d۹ca۹b۲e۹d۲

سرورهای C&C:
• akuma[.]pw
• akumaiotsolutions[.]pw
آدرس‌های بدافزار و منابع Payloadها:
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHOBOT.sh
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.arm
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.arm۵
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.arm۶
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.arm۷
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.m۶۸k
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.mips
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.mpsl
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.ppc
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.sh۴
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.spc
• ۳۱,۱۳.۱۹۵[.]۲۵۱/ECHO/ECHOBOT.x۸۶
مرجع : مرکز مدیریت راهبردی افتا