Kampaň botnetu „Goldoon“ zneužíva starú kritickú zraniteľnosť D-Link

Bezpečnostní výskumníci z FortiGuard poukázali na novú útočnú kampaň šíriacu malvér/botnet Goldoon, ktorá sa zameriava na routery D-Link. Počas apríla sa dvojnásobne zvýšil nárast útokov na bezpečnostnú chybu s označením CVE-2015-2051. Zaujímavosťou je, že táto zraniteľnosť je už takmer desať rokov stará. 

Zraniteľné systémy:

  • DAP-1522
  • DAP-1650
  • DIR-300
  • DIR-600
  • DIR-645
  • DIR-806
  • DIR-815
  • DIR-816L
  • DIR-860L
  • DIR-865L
  • DIR-880L

Opis činnosti:

Bezpečnostní výskumníci z FortiGuard upozornili na aktívnu kampaň botnetu “Goldoon“, ktorá zneužíva zraniteľnosť CVE-2015-2051.

CVE-2015-2051 (CVSS skóre 9,8)

Kritická zraniteľnosť CVE-2015-2051 sa týka routerov D-Link a je aktívne zneužívaná. Táto zraniteľnosť umožňuje vzdialeným útočníkom vykonávať ľubovoľné príkazy prostredníctvom akcie GetDeviceSettings na rozhraní HNAP. Útočníci vytvárajú škodlivé pakety s podvrhnutými HTTP požiadavkami a škodlivými príkazmi, čím kompromitujú zariadenia. Tento útočný paket vyzerá nasledovne:

Zraniteľnosť CVE-2015-2051 umožňuje získať úplnú kontrolu nad napadnutým zariadením. Útočníci využívajú túto zraniteľnosť na načítanie skriptu z adresy “hxxp://94[.]228[.]168[.]60:8080” zo vzdialeného servera, ktorý slúži na stiahnutie ďalšej fázy payloadu. Po stiahnutí a spustení dropperu sa na pozadí stiahne a aktivuje malvér Goldoon, ktorý nadviaže spojenie so serverom C2 a čaká na ďalšie príkazy. Malvér disponuje 27 rôznymi metódami na uskutočnenie útokov DDoS pomocou rôznych protokolov. Po vykonaní sa súbor odstráni aj spoločne so scriptom dropper pre zahladenie všetkých stôp po svojej činnosti. Na základe vykonanej analýzy telemetrických údajov poukazuje FortiGuard na dvojnásobné zvýšenie aktivity botnetu v apríli.

Analýza škodlivého softvéru poukázala na vykonávanie troch hlavných krokov:

  1. Malvér Goldoon najprv inicializuje požadované argumenty na nadviazanie spojenia so svojím riadiacim serverom (C2). Tieto argumenty zahŕňajú použitie “WolfSSL” na šifrovanie prevádzky a nastavenie servera Google DNS (“8.8.8.8”, “8.8.4.4”).
  2. Nastaví automatické spúšťanie pre získanie perzistencie v napadnutom zariadení. Škodlivý softvér Goldoon môže byť spustený rôznymi spôsobmi, vrátane inicializačných súborov, aplikácií pri zavádzaní systému Linux alebo automaticky po prihlásení sa obete do napadnutého zariadenia. Tieto metódy zahŕňajú spustenie pri štarte, formou démona, alebo pri prihlásení sa do systému.
  3. Po inicializácii a nastavení automatického spustenia malvér Goldoon nadviaže trvalé spojenie so serverom C2. Čaká na príkazy zo servera C2, aby spustil súvisiace správanie.

IOCs

C2 server

94[.]228[.]168[.]60

Súbory

66f21251d7f8c58316f149fec104723beb979a1215ad4e788d83f0ee6fd34696
712d9abe8fbdff71642a4d377ef920d66338d73388bfee542f657f2e916e219c
d7367d41d19baa4f1022f8eb47f7ff1e13f583265c7c26ab96d5f716fa0d61ee
fdf6dae772f7003d0b7cdc55e047434dbd089e0dc7664a3fae8ccfd9d10ece8c
aa9e6006bce7d0b4554165dba76e67c4a44d98090c9e6ac9f3dca726f6e9adbf
fc44018b7432d9e6a1e98f723b0402101fa6e7483d098b10133aac142c0a4a0b
e7b78f16d0dfc91b4c7e8fd50fc31eba1eb22ec7030af9bf7c551b6019c79333
0e6eb17664943756cab434af5d94fcd341f154cb36fc6f1ef5eb5cfdce68975f
9af8720766c5f3978718c026c2263801b08634443c93bd67022c56c6ef531ef3
df71219ba6f5835309479b6e3eaca73b187f509b915420656bfe9a9cc32596c2
48130a7c09a5c92e15b3fc0d2e1eb655e0bd8f759e01ba849f7734e32dbc2652
8eb9c1eaecd0dcdd242e1bc8c62a1052915b627abe2de8ce147635fb7da3bfcc
b050a1ff0d205f392195179233493ff5b6f44adc93fe0dba1f78c4fe90ebcc46
ffd2d3888b6b1289e380fa040247db6a4fbd2555db3e01fadd2fe41a0fa2debc
88cea61218bdeea94537b74c67873e75b8ada6d050a30d311569c3118d161c46
115e15fbee077a9e126cc0eb349445df34cc9404245520c702fadc5f75b6f859
b10e47db989e29ace6c23ed15e29f313993f95e5e615711060881dfa84618071
037331ab84a841b9d3cfb6f8797c1695e2dc0a2cdcc3f8f3c794dfaa50bcf0df
5631980fab33525f4de1b47be606cd518403f54fa71b81186f02dbf7e9ed0004
246142a5e3f3d3f84d8b38f98ff6897b03628e06e31016b8fafc9eb8c2b6201d
3123a458a6346fd14c5bd7d41cda6c9c9bdabc786366a9ab3d5e7c00132ff835
45bf2c9c6628d87a3cb85ee78ae3e92a09949185e6da11c41e2df04a53bb1274
c81cfe4d3b98d0b28d3c3e7812beda005279bc6c67821b27571240eba440fa49

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vzdialené vykonávanie kódu
  • Únik informácií
  • Narušenie integrity

Odporúčania:

Odporúčame bezodkladnú aktualizáciu firmvéru na najnovšiu verziu.

Škodlivý softvér opísaný v tejto správe je detegovaný a blokovaný programom FortiGuard Antivirus ako:

AGENT.G!tr.dldr ELF/Agent.JL!tr.dldr ELF/Agent.GLN!tr POWERSHELL/Agent.G!tr.dldr W64/Agent.GLN!tr

FortiGate, FortiMail, FortiClient a FortiEDR podporujú službu FortiGuard AntiVirus. Komponent FortiGuard AntiVirus je súčasťou každého z týchto riešení. Zákazníci, ktorí využívajú tieto produkty, sú chránení.

Služba FortiGuard Web Filtering Service blokuje server C2.

FortiGuard Labs poskytuje IPS signatúry proti útokom využívajúcim zraniteľnosť CVE-2015-2051: D-Link.Devices.HNAP.SOAPAction-Header.Command.Execution

Odkazy:

https://thehackernews.com/2024/05/new-goldoon-botnet-targets-d-link.html

https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10282

https://www.fortinet.com/blog/threat-research/new-goldoon-botnet-targeting-d-link-devices