Ботнет Satori сканирует порты для майнингового оборудования

Новости Отредактировано

Исследователи из компаний, специализирующихся на кибербезопасности, обнаружили, что ботнет Satori сканировал открытые порты 3333 для удаленного управления майнинговыми установками целую неделю. Источником ботнета оказались 17 тысяч независимых IP из Мексики.

931 открытий933 показов

Специалисты из компаний SANS ISC, Qihoo 360 Netlab и GreyNoise Intelligence обнаружили подозрительную активность ботнета Satori. Как оказалось, его операторы сканируют Интернет на предмет открытых портов 3333, которые используются для удаленного управления майнинговыми установками.

С чего все началось

Первыми возросшую активность в сканах порта 3333 заметили исследователи из 360 Netlab. Они же связали ее с ботнетом Satori.

Спустя день, 12 мая, в GreyNoise рассказали, что ботнет ищет устройства, использующие майнинговое ПО Claymore. По их словам, Satori посылает инструкцию, перенастраивающую установку на пул «dwarfpool» и криптовалютный кошелек мошенника.

К чему привело расследование

Исследователи из GreyNoise и NetLab обнаружили, что источниками массового сканирования являются 17 тысяч независимых IP мексиканского провайдера Uninet SA de CV. Точку в расследовании поставил Йоханнес Б. Ульрих (Johannes B. Ullrich) из SANS ISC. Он выяснил, что злоумышленники использовали уязвимость для удаленного исполнения кода CVE-2018-1000049, которой подвержено ПО Claymore. Для этой бреши существует публично доступный proof-of-concept эксплойт.

Напомним, что о Satori не было слышно с момента его возникновения в декабре 2017 года, но в феврале 2018 он снова стал активен и начал заражать роутеры во Вьетнаме.

Следите за новыми постами
Следите за новыми постами по любимым темам
931 открытий933 показов