Новости Из-за одной строки Python – десятки тысяч устройств в ботнете

[NewsMaker]

Волна заражений серверов накрывает планету.

---

---

Критическая Для просмотра ссылки Войди или Зарегистрируйся в сервере Wazuh, устранённая ещё в феврале, активно используется для развёртывания ботнетов на базе Mirai, цель которых — проведение DDoS-атак. О начале эксплуатации уязвимости сообщили специалисты Akamai, зафиксировавшие первую волну атак в марте 2025 года, всего через несколько недель после публикации Для просмотра ссылки Войди или Зарегистрируйся и выпуска версии Для просмотра ссылки Войди или Зарегистрируйся , устраняющей проблему.

Уязвимость Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.9) затрагивает все версии Wazuh начиная с 4.4.0. Проблема Для просмотра ссылки Войди или Зарегистрируйся в опасной десериализации данных в API сервера, где параметры DistributedAPI преобразуются в объекты Python через функцию <code>as_wazuh_object</code>. Злоумышленник может передать вредоносный JSON, чтобы добиться удалённого исполнения произвольного кода.

По Для просмотра ссылки Войди или Зарегистрируйся Akamai, эксплойт используется как минимум двумя независимыми ботнетами, каждый из которых применяет свои варианты Mirai. Первая зафиксированная кампания разворачивает скрипт, который загружает ботнет с внешнего сервера по адресу 176.65.134[.]62. Этот узел распространяет вредоносные сборки Mirai под архитектуры ARM, MIPS и другие. Образцы соответствуют семейству Для просмотра ссылки Войди или Зарегистрируйся , известному с 2023 года. Отдельно отмечается, что те же версии ботнета использовались и при атаках на устаревшие устройства видеонаблюдения GeoVision, однако прямых связей между этими кампаниями не установлено.

Дополнительный анализ инфраструктуры того же сервера выявил и другие модификации Mirai, в том числе под именами «neon», «vision», а также усовершенствованную версию V3G4. Кроме Wazuh, ботнет эксплуатирует и другие известные уязвимости — в частности, уязвимость в TP-Link Archer AX21 ( Для просмотра ссылки Войди или Зарегистрируйся ), компоненте Hadoop YARN и маршрутизаторе ZTE ZXV10 H108L.

Вторая волна атак, также использующая уязвимость CVE-2025-24016, развёртывает другой ботнет — Resbot, известный также под именем Resentual. Он использует аналогичный механизм доставки: запуск шелл-скрипта, скачивание вредоносного исполняемого файла и его активация. Особенность Resbot — характерная языковая разметка инфраструктуры: домены с итальянскими названиями. По мнению аналитиков, это может говорить о нацеленности на устройства, эксплуатируемые италоговорящими пользователями.

Этот ботнет активно сканирует порты 21 (FTP) и Telnet, и также использует многочисленные уязвимости в устройствах интернета вещей. В перечень эксплуатируемых векторов входят старые уязвимости в Huawei HG532 ( Для просмотра ссылки Войди или Зарегистрируйся ), Realtek SDK ( Для просмотра ссылки Войди или Зарегистрируйся ) и маршрутизаторе TrueOnline ZyXEL P660HN-T v1 ( Для просмотра ссылки Войди или Зарегистрируйся ).

Специалисты подчёркивают, что исходный код Mirai остаётся одним из самых часто используемых в ботнет-индустрии. Он легко модифицируется, и с каждым новым опубликованным эксплойтом появляются новые волны заражений. Последние атаки также задействовали уязвимость Для просмотра ссылки Войди или Зарегистрируйся — уязвимость Для просмотра ссылки Войди или Зарегистрируйся команд в регистраторах Для просмотра ссылки Войди или Зарегистрируйся DVR-4104 и DVR-4216. Через неё злоумышленники запускают скрипт, загружающий ботнет с сервера 42.112.26[.]36. До активации выполняется проверка на запуск в виртуальной среде или через QEMU.

Наибольшее число заражений Для просмотра ссылки Войди или Зарегистрируйся в Китае, Индии, Египте, Турции, Украине и Бразилии. В сети обнаружено более 50 000 доступных DVR-устройств, которые могут быть взяты под контроль.

Масштабы атак подтверждаются и Для просмотра ссылки Войди или Зарегистрируйся StormWall: в первом квартале 2025 года наибольшую активность ботнетов зафиксировали в Азиатско-Тихоокеанском регионе — в Китае, Индии, Тайване, Сингапуре, Японии, Малайзии, Гонконге, Индонезии, Южной Корее и Бангладеш. Особую тревогу вызывают новые тактики: API-флуды и carpet bombing развиваются быстрее традиционных атак через TCP и UDP, что вынуждает компании пересматривать подходы к защите.

Параллельно ФБР выпустило предупреждение о новой итерации ботнета Для просмотра ссылки Войди или Зарегистрируйся , в состав которого входит множество устройств с предустановленным вредоносным ПО, производимых преимущественно в Китае. Эти устройства используются как прокси-узлы в преступной инфраструктуре. По данным ведомства, устройства заражаются либо ещё до покупки, либо сразу после — при установке приложений, в которые встроены бэкдоры.