طبق گزارش شرکت ارائهدهندهی خدمات محافظت در برابر منع سرویس توزیعشده به نام Radware، باتنت اینترنت اشیای Hoaxcalls فهرست دستگاههای هدف خود را گسترش داده و قابلیتهای منع سرویس توزیعشدهی جدیدی را به زرادخانهی خود اضافه کرده است.
Hoaxcalls که اولین بار در ابتدای ماه آوریل جزئیات آن منتشر شد، بر پایهی کد منبع باتنتهای Tsunami و Gafgyt است و آسیبپذیریهای موجود در دستگاههای سری Grandstream UCM6200 و مسیریابهای Draytek Vigor را هدف قرار داده است.
این باتنت برای راهاندازی حملات منع سرویس توزیعشده با استفاده از UDP، DNS و HEX بر پایهی دستورات دریافتشده از سرور فرمان و کنترل خود طراحی شده است.
پژوهشگران Radware بیان کردند که در طول چند هفتهی اخیر، نسخهی جدیدی از این باتنت کشف شده است که یک آسیبپذیری وصلهنشده را هدف قرار میدهد که این آسیبپذیری ZyXEL Cloud CNM SecuManager را تحت تأثیر قرار میدهد. این باتنت همچنین ۱۶ قابلیت جدید منع سرویس توزیعشده را به فهرست موجود اضافه کرده است.
چند هفته پیش، نسخهی قدرتمندتر این باتنت از یک سرور واحد منتشر میشد، اما تعداد سرورهای میزبان درحال حاضر از ۷۵ سرور فراتر رفته است.
نمونههای جدید نشان میدهد که توسعهی بدافزار چقدر سریع میتواند اتفاق بیفتد، زیرا ۱۶ بردار جدید منع سرویس توزیعشده در بازهی زمانی ۳۱ مارس تا ۸ آوریل اضافه شده است.
هفتهی گذشته پژوهشگران امنیتی نسخهی جدیدی از این باتنت به نام XTC را شناسایی کردند که نه تنها شامل همهی ۱۹ بردار حملهی منع سرویس توزیعشده است، بلکه با تلاش برای بهرهبرداری از یک آسیبپذیری موجود در ZyXEL Cloud CNM SecuManager فهرست دستگاههای هدف را گسترش میدهد.
آسیبپذیریهای متعددی که در نرمافزار مدیریت شبکهی ZyXEL وجود دارد، در اوایل ماه مارس و زمانی افشا شد که پژوهشگران امنیتی اعلام کردند که مهاجمانی که آنها را هدف قرار میدهند میتوانند بهصورت از راه دور کد اجرا کنند.
Radware بیان کرد که پویشهای انجامشده توسط این عامل یا گروه پشت پردهی XTC و Hoaxcalls شامل چند نسخه است که از ترکیبهای متفاوتی از بهرهبرداریهای تکثیری و بردارهای حملهی منع سرویس توزیعشده استفاده میکند. از نظر آنها گروه پشت پردهی این پویش در کشف و استفاده از بهرهبرداریهای جدید برای ساخت باتنتی که برای حملات گستردهی منع سرویس توزیعشده مورد استفاده قرار میگیرد، تخصص دارد.