Dall'inizio di quest'anno, i cybercriminali hanno preso di mira le vulnerabilità di #Cacti e #Realtek sui server #Windows e #Linux che possono essere sfruttati. In due attacchi diversi, gli attori minacciosi hanno infettato le vittime con i #malware #ShellBot (aka #PerlBot) e #Moobot. Le tecniche di attacco sovrapposte indicano che gli stessi attaccanti sono dietro entrambi gli attacchi.
Secondo i ricercatori di #Fortinet, #Moobot, una variante di #Mirai, mira a una vulnerabilità di iniezione di comando arbitraria (#CVE-2021-35394) in #Realtek Jungle SDK e una vulnerabilità di iniezione di comando (#CVE-2022-46169) in #Cacti. Gli attaccanti assumono il controllo dei sistemi vulnerabili per scaricare uno script contenente la configurazione del malware e stabilire una connessione con il server #C2. #Moobot comunica continuamente con il server #C2 e, successivamente, avvia l'attacco. L'ultima variante di #Moobot cerca altri bot noti e ne interrompe i processi per raccogliere la massima potenza hardware dell'host infetto e lanciare attacchi #DDoS.
Per quanto riguarda #ShellBot, gli attaccanti hanno mirato principalmente alla vulnerabilità di #Cacti per distribuire le tre nuove varianti del malware: #PowerBots (C) #GohacK, #LiGhTsModdedperlbotv2 e #B0tchZ 0.2a. La prima variante stabilisce una connessione con i server #C2 e attende i comandi per eseguire attività dannose. La seconda variante presenta un insieme molto più ampio di comandi e include numerosi tipi di attacchi di flooding, un modulo di miglioramento dell'exploit e funzioni di hacking. È diventato attivo questo mese e ha già accumulato centinaia di vittime. La terza variante contiene una configurazione con più comandi per eseguire attività dannose e mirare a server #Cacti vulnerabili.
Oltre a #ShellBot e #Moobot, diversi altri attaccanti hanno sfruttato gli stessi bug, tra cui #Fodcha, #Gafgyt, #Mozi e #RedGoBot. Mentre i fornitori interessati hanno rilasciato immediatamente aggiornamenti software per risolvere il problema, molte organizzazioni
