Ботнет Satori сканирует порты для майнингового оборудования

Специалисты из компаний SANS ISC, Qihoo 360 Netlab и GreyNoise Intelligence обнаружили подозрительную активность ботнета Satori. Как оказалось, его операторы сканируют Интернет на предмет открытых портов 3333, которые используются для удаленного управления майнинговыми установками.

С чего все началось

Первыми возросшую активность в сканах порта 3333 заметили исследователи из 360 Netlab. Они же связали ее с ботнетом Satori.

Спустя день, 12 мая, в GreyNoise рассказали, что ботнет ищет устройства, использующие майнинговое ПО Claymore. По их словам, Satori посылает инструкцию, перенастраивающую установку на пул «dwarfpool» и криптовалютный кошелек мошенника.

К чему привело расследование

Исследователи из GreyNoise и NetLab обнаружили, что источниками массового сканирования являются 17 тысяч независимых IP мексиканского провайдера Uninet SA de CV. Точку в расследовании поставил Йоханнес Б. Ульрих (Johannes B. Ullrich) из SANS ISC. Он выяснил, что злоумышленники использовали уязвимость для удаленного исполнения кода CVE-2018-1000049, которой подвержено ПО Claymore. Для этой бреши существует публично доступный proof-of-concept эксплойт.

Напомним, что о Satori не было слышно с момента его возникновения в декабре 2017 года, но в феврале 2018 он снова стал активен и начал заражать роутеры во Вьетнаме.