Появилась новая серия вредоносных действий Roboto Botnet, использующих уязвимость RCE для атаки на серверы Webmin. Linux.
Первым, кто открыл ботнет Roboto, был Netlab360, который охарактеризовал его как файл в формате ELF. Первое открытие было сделано в августе, и позже Honeypot обнаружил еще один образец подозреваемых ELF, который послужил загрузчик скачать этот бот.
В последние три месяца исследователи безопасность постоянно следят за движениями и действиями Робото, чтобы обнаружить его цели и методы.
Было обнаружено, что Roboto Botnet использует алгоритмы, такие как Curve25519, Ed25519, TEA, SHA256, HMAC-SHA256, чтобы поддерживать свою целостность, защищать и получать постоянный контроль над серверами Linux Webmin Linux.
По мнению исследователей: « Ботнет имеет функциональность DDoS, но похоже, что DDoS-атаки не являются его основной целью. С момента обнаружения DDoS-атак мы не обнаружили. Нам все еще нужно знать его истинное предназначение ".
Исследователи наблюдали распространение Roboto через 51.38.200.230 (сервис Webmin Honeypot) и пример загрузчика, распространяющегося через уязвимость Webmin RCE (CVE-2019-15107).
Http: // 190.114.240.194 / загрузочный URL помогает распространять его полезная нагрузка.
Основное назначение загрузчика Roboto - загрузить зашифрованную программу Roboto Bot с определенного адреса. URL, Позже вредоносная программа расшифрует и выполнит ее.
Roboto Botnet может выполнять различные расширенные функции, такие как обратная оболочка, автоматическое удаление, сбор информации о сети, сбор информации мордавыполнение системных команд, выполнение зашифрованных файлов, специализирующихся на URL, DDoS-атаках и т. д.
Roboto позволяет выполнять DDoS-атаку следующими способами:
CMP Flood
HTTP Flood
TCP Flood
Потоп UDP
Netlab360 рекомендует пользователям Webmin проверять, заражены ли они, проверять процесс, имя файла и сетевое соединение UDP, а также блокировать все IP-адреса, URL-адреса и доменные имена связанные с ботнетом.