Negli ultimi mesi, diverse botnet di malware hanno preso di mira le vulnerabilità di Realtek e Cacti, in particolare tra gennaio e marzo 2023, diffondendo i malware ShellBot e Moobot. Questi attacchi mirano a reclutare dispositivi di rete esposti per impiegarli in attacchi DDoS (distributed denial of service).
Le vulnerabilità sotto attacco
Le vulnerabilità oggetto degli attacchi sono CVE-2021-35394, una vulnerabilità critica di esecuzione remota di codice nel Jungle SDK di Realtek, e CVE-2022-46169, un grave difetto di command injection nel software di monitoraggio Cacti. In passato, queste falle sono state sfruttate anche da altre botnet di malware, tra cui Fodcha, RedGoBot, Mirai, Gafgyt e Mozi.
Moobot, una variante di Mirai
Moobot, una variante del malware Mirai, è stato scoperto per la prima volta nel dicembre 2021 e ha preso di mira le telecamere Hikvision. Attualmente, sfrutta le vulnerabilità CVE-2021-35394 e CVE-2022-46169 per infettare host vulnerabili e stabilire una connessione con il server C2. Una caratteristica distintiva delle nuove versioni di Moobot è la capacità di individuare e terminare i processi di altri bot noti, in modo da sfruttare al massimo la potenza hardware dell’host infetto per lanciare attacchi DDoS.
Gli attacchi di ShellBot
ShellBot è stato individuato per la prima volta nel gennaio 2023 e continua ad essere attivo oggi, prendendo di mira principalmente la vulnerabilità di Cacti. Fortinet ha individuato tre varianti del malware, il che indica che è in continua evoluzione. Questo malware stabilisce una comunicazione con il server C2 e attende di ricevere specifici comandi per lanciare gli attacchi.
Come proteggersi da Moobot e ShellBot
Per difendersi dagli attacchi di Moobot e ShellBot, si consiglia di utilizzare password amministrative forti e applicare gli aggiornamenti di sicurezza che correggono le vulnerabilità menzionate. Se il dispositivo non è più supportato dal produttore, è consigliabile sostituirlo con un modello più recente che riceva aggiornamenti di sicurezza.