Сотрудники Qihoo 360 Netlab обнаружили всплеск активности ботсети Satori, которая является одной из разновидностей Mirai. В состав ботнета входит около 280000 активных устройств.
Как утверждают эксперты, вредоносная программа Satori проводит сканирование портов 37215 и 52869. Вредоносная программа имеет определенные отличия от предыдущих версий Mirai. Если до этого разные варианты Mirai инфицировали уязвимые устройства, а после осуществляли загрузку компонента Telnet для того, чтобы сканировать интернет на предмет новых жертв, то Satori вместо этого компонента задействует встроенные эксплоиты для дистанционного подключения к устройствам.
Специалисты выявили 263250 разных IP-адресов, осуществляющих сканирование порт 37215, и еще 19403 IP-адресов, которые проводят проверку порта 52869. Satori с успехом распространяется, используя уязвимость нулевого дня в маршрутизаторах Huawei Home Gateway, которая дает хакеру возможность дистанционно выполнять код. Еще один эксплоит предназначен для уязвимости в устройствах Realtek.
Эксперты проводят связь между Satori и еще одним ботнетом на основе Mirai, который был выявлен в ноябре текущего года. В состав этой ботсети входит порядка 100000 устройств, большая часть из которых размещены в Аргентине.
Неизвестно, управляет ли этими двумя ботнетами один и тот же человек. Эксперты подчеркнули, что Satori и одна из версий Mirai имеют идентичные имена ряда файлов, статический функционал и некоторые протоколы C2.