گسترش بات‌نت کاوشگر رمز ارز LiquorBot

بات‌نت جدیدی به نام LiquorBot شناسایی شده‌است که مبتنی بر Mirai بوده و با هدف کاوش رمزارز در حال گسترش است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بات‌نت Mirai که در سال ۲۰۱۶ از طریق حملات گسترده شبکه‌ای شناخته شد، به یک نقطه مرجع در صنعت امنیت برای خسارت وارده توسط بات‌نت‌های IoT تبدیل شده است. از آنجا که کد منبع این بات‌نت به‌صورت عمومی منتشر شده و در دسترس همه افراد برای ساختن بات‌نت خود قرار دارد، گونه‌های بسیاری از Mirai ایجاد شده‌اند که هر یک از آنها ویژگی‌های منحصر به فردی را در خود جای داده‌اند. در حالی که بیشتر این بات‌نت‌ها برای مقاصد مخرب استفاده می‌شوند، برخی دیگر از آن‌ها از قدرت جمعی دستگاه‌های قربانی برای کاوش رمزارز بهره می‌برند.

پژوهشگران Bitdefender توسعه یک بات‌نت الهام یافته از Mirai با نام LiquorBot را ردیابی کردند که به نظر می‌رسد به طور جدی در حال توسعه است و اخیرا ویژگی‌های استخراج رمزارز Monero را نیز در خود گنجانده است.

بات‌نت LiquorBot با زبان برنامه‌نویسی Go (همچنین شناخته شده به عنوان Golang) نوشته شده است که دارای چندین مزیت برنامه‌نویسی نسبت به کدهای سنتی سبک C است. به نظر می‌رسد که LiquorBot از همان سرور فرمان و کنترل (C&C) مرتبط با Mirai استفاده می‌کند، و آنها حتی در اسکریپت‌های مخرب منتقل شده نیز یکسان هستند. این موضوع به این معنی است که مهاجمان از LiquorBot و Mirai در کارزارهای مختلف استفاده کرده‌اند.

این بات‌نت کاوش‌گر رمزارز از ماه می سال ۲۰۱۹ در حال حمله به مسیریاب‌های آسیب‌پذیر است. بات‌نت LiquorBot از مجموعه‌ای از آسیب‌پذیری‌های بحرانی سوء استفاده می‌کند و چندین معماری پردازنده را هدف قرار می‌دهد. پژوهشگران Bitdefender اولین نسخه LiquorBot را در ۳۱ می ۲۰۱۹ (۱۰ خرداد) و جدیدترین نسخه آن را در تاریخ ۱۰ اکتبر ۲۰۱۹ (۱۸ مهر) شناسایی کردند.

در هسته بات‌نت LiquorBot قابلیت حملات منع سرویس توزیع شده (DDoS) در نمونه اصلی Mirai، با قابلیت کاوش رمزارز جایگزین شده است. معماری‌های ARM، ARM۶۴، x۸۶، x۶۴ و MIPS مورد هدف این بات‌نت هستند و کد payload آن صرف نظر از معماری پردازنده منتقل می‌شود.

آسیب‌پذیری‌‎های مورد هدف توسط LiquorBot شامل چند آسیب‌پذیری بحرانی (CVE-۲۰۱۵-۲۰۵۱، CVE-۲۰۱۶-۱۵۵۵ و CVE-۲۰۱۶-۶۲۷۷) به همراه مجموعه‌ای از آسیب‌پذیری‌های اجرای دستور از راه دور کشف شده در مدل‌های مختلفی از مسیریاب‌ها (CVE -۲۰۱۸-۱۷۱۷۳، CVE-۲۰۱۷-۶۸۸۴، CVE-۲۰۱۸-۱۰۵۶۲، CVE-۲۰۱۷-۶۰۷۷، CVE-۲۰۱۷-۶۳۳۴، CVE-۲۰۱۶-۵۶۷۹، CVE-۲۰۱۸-۹۲۸۵، CVE-۲۰۱۳-۳۵۶۸ و CVE-۲۰۱۹ -۱۲۷۸۰) هستند.

لازم به ذکر است که بهره‌برداری از این آسیب‌پذیری‌ها روش نفوذ اصلی LiquorBot نیست و این بات‌نت در درجه اول به حملات جستجوی فراگیر (Brute-force) روی SSH متکی است.