پژوهشگران امنیت سایبری هشدار دادهاند که باتنت Hoaxcalls دامنه دستگاههای مورد هدف خود را گسترش دادهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران از پیادهسازی قابلیتهای جدیدی نیز برای اجرای حملات Distributed Denial of Service – به اختصار DDoS – در این باتنت خبر دادهاند.
Hoaxcalls باتنتی مبتنیبر تجهیزات موسوم به اینترنت اشیاء (Internet of Things – به اختصار IoT) است. برای نخستینبار ۱۵ فروردینماه شرکت Palo Alto Networks در گزارشی اعلام کرد که Hoaxcalls با استفاده از تکهکدهایی از باتنتهای Tsunami و Gafgyt، آسیبپذیریهای CVE-۲۰۲۰-۵۷۲۲ و CVE-۲۰۲۰-۸۵۱۵ را بهترتیب در سری UCM۶۲۰۰ دستگاههای GrandStream و روترهای DrayTek Vigor مورد هدف قرار میدهد.
هر دوی این آسیبپذیریها دارای درجه حیاتی (۹,۸ از ۱۰ بر طبق نسخه ۳.۱ استاندارد CVSS) بوده و بهسادگی قابل بهرهجویی (Exploit) هستند.
طراحی اولیه باتنت، آن را قادر به اجرای حملات DDoS از نوع UDP/DNS/HEX Flood میکرد. اکنون پژوهشگران نسخه جدیدی از باتنت Hoaxcalls را شناساییکردهاند که یک آسیبپذیری ترمیمنشده در ZyXEL Cloud CNM SecuManager را مورد بهرهجویی قرار میدهد. جزییات آسیبپذیری مذکور در ۱۹ اسفند ۹۸ افشا شد و ZyXEL هنوز اصلاحیهای برای آن عرضه نکردهاست.
همچنین به گفته این پژوهشگران ۱۶ قابلیت جدید اجرای حملات DDoS نیز در این نسخه Hoaxcalls لحاظ شده که مجموع آنها را به ۱۹ عدد میرساند.
کارزارهای رصد شده از نسخی تشکیل شدهاند که در آنها از ترکیبی از بهرهجوها – برای انتشار – و حاملهای حمله DDoS استفاده شدهاست.
در ۲۲ فروردین نسخه قدرتمندی از این باتنت کشف شد که از روی یک سرور در حال انتشار بود. قابلیتهای حمله این نسخه از باتنت در مقایسه با قبل افزایش چشمگیری داشتهاست. این نسخه خاص تنها از طریق CVE-۲۰۲۰-۵۷۲۲ که نوعی آسیبپذیری تزریق از راه دور فرمان SQL در GrandStream UCM است منتشر میشد. به گفته پژوهشگران ظرف ۴۸ ساعت نخست از زمان کشف آن، ۱۵ نشانی منحصربهفرد IP که بدافزار را از یک سرور با نشانی ۱۷۶,۱۲۳.۳.۹۶ توزیع میکردند توسط حسگرهای آنها شناسایی شدند. امروز تعداد این بدافزارها به بیش از ۷۵ مورد رسیده است. در بررسی اولیه به نظر میآمد که نمونه، مرتبط با Tsunami است اما نتایج تحلیلهای بعدی از نزدیکی نمونه به Hoaxcalls حکایت داشت.
در آخرین نمونه کشفشده، گردانندگان Hoaxcalls با مشارکت مالکان باتنت XTC اقدام به بهرهجویی از آسیبپذیری روز-صفر ZyXEL Cloud CNM SecuManager کردند. پژوهشگران بر این باور هستند که گردانندگان این کارزارها با تمرکز بر یافتههای جدید و با بکارگیری بهرهجوها در صدد ایجاد یک باتنت با توانایی حملات عظیم DDoS هستند.