بات‌نت Hoaxcalls، مجهزتر از قبل

به گزارش کارگروه فناوری اطلاعات سایبربان، به نقل از پایگاه اینترنتی SecurityAffairs، پژوهشگران از پیاده‌سازی قابلیت‌های جدیدی نیز برای اجرای حملات Distributed Denial of Service – به‌اختصار DDoS – در این بات‌نت خبر داده‌اند.
Hoaxcalls بات‌نتی مبتنی بر تجهیزات موسوم به اینترنت اشیاء (Internet of Things – به‌اختصار IoT) است.
برای اولین بار در ۱۵ فروردین‌ماه شرکت Palo Alto Networks در گزارشی اعلام کرد که Hoaxcalls با استفاده از تکه کدهایی از بات‌نت‌های Tsunami و Gafgyt، آسیب‌پذیری‌های CVE-۲۰۲۰-۵۷۲۲ و CVE-۲۰۲۰-۸۵۱۵ را به ترتیب در سری UCM۶۲۰۰ دستگاه‌های GrandStream و روترهای DrayTek Vigor مورد هدف قرار می‌دهد.
هردوی این آسیب‌پذیری‌ها دارای درجه حیاتی (۹,۸ از ۱۰ بر طبق نسخه ۳.۱ استاندارد CVSS) بوده و به‌سادگی قابل بهره‌جویی (Exploit) هستند.
طراحی اولیه بات‌نت، آن را قادر به اجرای حملات DDoS از نوع UDP/DNS/HEX Flood می‌کرد.
اکنون پژوهشگران نسخه جدیدی از بات‌نت Hoaxcalls را شناسایی کرده‌اند که یک آسیب‌پذیری ترمیم نشده در ZyXEL Cloud CNM SecuManager را مورد بهره‌جویی قرار می‌دهد. جزییات آسیب‌پذیری مذکور در ۱۹ اسفند ۹۸ افشا شد و ZyXEL هنوز اصلاحیه‌ای برای آن عرضه نکرده است.
همچنین به گفته این پژوهشگران ۱۶ قابلیت جدید اجرای حملات DDoS نیز در این نسخه Hoaxcalls لحاظ شده که مجموع آن‌ها را به ۱۹ عدد می‌رساند.
کارزارهای رصد شده از نسخی تشکیل‌شده‌اند که در آن‌ها از ترکیبی از بهره‌جوها – برای انتشار – و حامل‌های حمله DDoS استفاده‌شده است.
در ۲۲ فروردین نسخه قدرتمندی از این بات‌نت کشف شد که از روی یک سرور در حال انتشار بود. قابلیت‌های حمله این نسخه از بات‌نت در مقایسه با قبل افزایش چشم‌گیری داشته است. این نسخه خاص تنها از طریق CVE-۲۰۲۰-۵۷۲۲ که نوعی آسیب‌پذیری تزریق از راه دورفرمان SQL در GrandStream UCM است منتشر می‌شد. به گفته پژوهشگران ظرف ۴۸ ساعت نخست از زمان کشف آن، ۱۵ نشانی منحصربه‌فرد IP که بدافزار را از یک سرور با نشانی ۱۷۶,۱۲۳.۳.۹۶ توزیع می‌کردند توسط حسگرهای آن‌ها شناسایی شدند. امروز تعداد این بدافزارها به بیش از ۷۵ مورد رسیده است. در بررسی اولیه به نظر می‌آمد که نمونه، مرتبط با Tsunami است اما نتایج تحلیل‌های بعدی از نزدیکی نمونه به Hoaxcalls حکایت داشت.
در آخرین نمونه کشف‌شده، گردانندگان Hoaxcalls با مشارکت مالکان بات‌نت XTC اقدام به بهره‌جویی از آسیب‌پذیری روز-صفر ZyXEL Cloud CNM SecuManager کردند.
پژوهشگران بر این باور هستند که گردانندگان این کارزارها با تمرکز بر یافته‌های جدید و با به‌کارگیری بهره‌جوها درصدد ایجاد یک بات‌نت با توانایی حملات عظیم DDoS هستند.

نشانه‌های آلودگی (IoC):
سرور بدافزار

• ۱۷۸,۳۳.۶۴.۱۰۷

پویشگرها (Scanner)

• ۱۲۲,۲.۴۷.۱۸۱

• ۱۸۱,۱۹۴.۱۵۴.۶۷

• ۱۸۴,۶۸.۳۹.۱۳۴

• ۱۹۴,۱۲۶.۱۱.۱۰۱

• ۱۴,۱۷۷.۲۳۴.۲۱۴

• ۴۵,۶۵.۲۲۲.۱۳۶

• ۴۷,۲۰۵.۱۶۲.۱۵۸

• ۶۸,۱۰۷.۱۷۲.۱۰۳

• ۹۶,۶۵.۷۲.۲۴۷

• ۱۰۳,۴.۶۵.۷۸

• ۱۱۸,۱۸۹.۱۶۲.۱۹۹

• ۱۷۸,۳۲.۱۴۸.۵

• ۱۸۵,۱۵۳.۴۵.۱۹۱

• ۱۸۹,۱۶۳.۷۵.۱۷۳

• ۲۱۷,۱۶۵.۱۴.۴۰

• ۶۵,۱۵۵.۲۴۸.۱۰۶

• ۱۳۷,۵۹.۴۴.۹۰

• ۱۳۹,۶۰.۱۷۹.۶۹

• ۱۸۵,۷۵.۹۸.۲۳۴

• ۱۱۳,۱۹۰.۱۵۶.۱۸۳

• ۱۳۶,۲۳۲.۸۰.۳۸

• ۱۵۶,۱۱۰.۲۵.۲۶

• ۱۸۱,۱۴۳.۲۲۱.۶۸

• ۲۰۹,۲۵۱.۱۰۰.۵

کانال IRC

• #hellroom

هش نمونه‌های بدافزار

• ab۰ac۸۴fdd۰۵a۴۶c۷۰a۸e۲۷۳ff۴۹۰e۳۲۴۲۹a۰۴a۵۴۸ed۵۳e۶۷۶cd۳bea۱۷۸d۳۴۰۸ - arm۵

• c۱۱۱۶b۵e۱۸۰ebfb۲abb۱۶۰۹۰۵۶۹۹b۰b۶۱۵۳۹۶۹۶b۶۴f۰d۷۰۰e۶d۸ec۲۸۵۶b۸۶۴b۸ – arm۶

• ۷۷۲be۹c۶۵۳۴۵ac۵c۴۲۵d۸۲۱d۹f۴۲eddc۹۳۸۱fcf۲۹۸۳aa۶e۶۱۲affa۰a۵c۳c۵۶۰۲ – arm۷

• eec۱۵۱cbc۳b۱d۷۸ef۵۳f۱۷۴۸۹f۹۶۶۲c۰۳۰f۰e۷۳e۳f۹۴۰fb۳fc۹۶d۷۹۴b۸b۰daca – m۶۸k

• b۵۰f۸e۱۰c۸d۶۰d۳۵۷bf۴۶۶ec۸۵۷۰a۳eddb۹۰۵f۶۳۸f۹ef۸f۵b۵۸۷a۴f۸۱ae۳c۹۹e – mips

• ۰۸c۴۲e۱ff۵۲۱de۳۸a۰۹۷۶۶facda۵۹۰۹a۷۲d۳۴d۳۶۵۷۱a۳de۰۳۳dabc۰۳۵d۲۵۸۶۴۷ – mpsl

• ۳۱۳۹۴۲c۴c۲۵۰۵۹e۲۵ba۱۴۴de۷۴b۳۱۶d۸d۰f۶۶۷۹edfd۹۱bd۸۷۳f۲۶۴c۴a۷cde۹ea - i۴۸۶

• effe۹be۲۲۳۹۱f۳۴bf۵۴f۷۷a۲۹a۲fd۶۹bcff۸d۴۴۰cb۲a۸۲ca۸bc۸۶۵۳ac۳۲۳caf۰ - i۵۸۶

• ۸۸ca۶۳۲۳۹۱a۲f۱de۴۴d۲۹۱fd۸eb۷eff۹۳۵a۴۵۱۳cfc۸f۲۷۰۳۷۱d۰۲d۱۳c۲۹۱۸۸d۹ - i۶۸۶

• de۰۸d۲۴c۹۲۰۳e۰df۰۱۶۰c۸۰۴dd۴۵b۱۳۱da۷eccabdaf۲۰۴c۰۷۵۸۷۷۸۴d۰۸۹۳۸۷۶۴ - ppc۴۴۰

• ۶۲a۳۴۴۷۴e۶c۰۵۸۶۰۰۲۹e۳۰۰۳۵ea۱f۴۸۱ca۲۴۵۳۳fe۱c۰۰۷۹۰aebd۴e۴۹b۷۱adab۱ – ppc

• b۰۶۶ee۳e۲۲۳۸۶d۴e۵۹۷۵۵۶۳۷f۵f۷f۰feda۶۱۸f۷۷ea۲۷۸۴۹۶۰bf۳۲۵c۶۶bcaf۱۵۸ – sh۴

• cc۱c۶۵f۳۶۴۲a۱۹ff۲۷۵۵۲۷f۰b۴۰e۳cea۹۹۱۰۸۵a۹۳af۴۰۳۷bb۳cb۲۱۱ebea۱۳۵a۳ – spc

• b۹۱۳۱aec۲۲۰۸۶۴bf۰۳da۴۹efcccb۰۹۳۶۲۰e۹۲cda۲۸۹۸۵۲۸۵۱b۴d۳۲۵۵a۹۹۹۱d۵۴ – x۸۶