PT-2026-46055 · Undefined · Undefined

Published

2026-06-03

·

Updated

2026-06-03

·

CVE-2021-27137

None

No severity ratings or metrics are available. When they are, we'll update the corresponding info on the page.
#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

В марте 2023 года был обнаружен вариант ботнета Gafgyt под названием C0XMO, использующий уязвимость CVE-2021-27137 в маршрутизаторах DD-WRT для распространения на различные архитектуры Linux. ВПО применяет атаки брутфорс с использованием слабых учетных данных для Telnet и SSH, а также реализует стратегии обеспечения устойчивости, включая копирование самого себя в скрытые каталоги и настройку задач cron. C0XMO взаимодействует со своим C2-сервером для выполнения 19 методов DDoS-атак, а также может эксплуатировать уязвимости Android Debug Bridge для компрометации открытых устройств Android.

В марте 2023 года новый вариант ботнета Gafgyt, получивший название C0XMO, был обнаружен лабораторией FortiGuard Labs. Он эффективно распространяется по множеству архитектур Linux, эксплуатируя уязвимость переполнения стекового буфера, обозначенную как CVE-2021-27137. Эта уязвимость безопасности существует в службе UPnP прошивки определенных маршрутизаторов DD-WRT, когда некорректно обрабатываются значения ST:uuid большого размера в сфабрикованных M-SEARCH запросах через UDP порт 1900. Примечательно, что первоначальная атака была направлена на компанию в Японии, но IP-адрес источника находился в Германии. После компрометации хост загружает ВПО и сохраняет его в директории /tmp/.cache, при этом доступны несколько сборок для различных системных архитектур, что демонстрирует адаптивность в охвате целей.
C0XMO характеризуется поведением, типичным для предыдущих вариантов Gafgyt, сочетая попытки брутфорса с использованием слабых учетных данных, направленные на интерфейсы Telnet и SSH, уязвимости внедрения команд и различные механизмы DDoS-атак. После запуска C0XMO реализует сложную стратегию закрепления, включающую копирование самого себя в скрытые каталоги, настройку задач cron для повторного выполнения и изменение основных профилей оболочки для обеспечения непрерывной работы. Вредоносное ПО также проверяет запущенные процессы для устранения конкурентов, завершая процессы, соответствующие внутренней черному списку, и удаляя соответствующие двоичные файлы и механизмы закрепления.
После установки локального закрепления C0XMO устанавливает связь с сервером управления (C2), расположенным по адресу 85.215.131.70, инициируя уникальное рукопожатие, включающее предопределенную строку и общий секрет. Это соединение позволяет C0XMO идентифицировать себя как часть ботнета, завершая рукопожатие подтверждением от сервера.
Обработчик команд вредоносного ПО обеспечивает выполнение различных команд, в частности для запуска 19 различных методов DDoS-атак. Примечательно, что C0XMO изолирует свой механизм сканирования в отдельном Python-скрипте, который он загружает с другого IP-адреса. Этот скрипт выполняет случайное сканирование IP-адресов и включает критерии для игнорирования известных honeypot-ов и ранее неэффективных целей. Кроме того, он может эксплуатировать уязвимости Android Debug Bridge (ADB) для захвата управления над открытыми Android-устройствами.

Related Identifiers

CVE-2021-27137

Affected Products

Undefined