Короткое пробуждение ботнета Satori

Исследователи Qihoo 360 Netlab сообщили об активизации еще одной версии Mirai, ботнета Satori, который проявлял себя массовым сканированием портов 37215 и 52869. За первые 12 часов наблюдения было зафиксировано появление более 280 тысяч ботов. Однако позднее, через 2 часа после того, как исследователи опубликовали данные своих наблюдений, ботнет стремительно свернул свою деятельность.

Новое вредоносное ПО обладает способностью к самораспространению и использует два встроенных эксплойта. Первый из них использует порт 37215, предположительно для эксплуатации уязвимости нулевого дня в роутерах Huawei. Второй эксплойт, атакующий порт 52869, связан с давней уязвимостью CVE-2014-8361 в устройствах компании Realtek. По данным Netlab, основная часть сканирующих запросов приходится на порт 37215.

Эксперты Netlab предполагают, что всплеск активности ботнета Satori может быть связан с деятельностью другой разновидности Mirai, которая заражала уязвимые ZyXEL-устройства и была обнаружена в прошлом месяце. В пользу этого говорят, например, одинаковые имена некоторых файлов и C&C протоколы.

Источник: Qihoo 360 Netlab