#ParsedReport #CompletenessMedium
05-06-2025

UNC1151 exploiting Roundcube to steal user credentials in a spearphishing campaign

https://cert.pl/en/posts/2025/06/unc1151-campaign-roundcube/

Report completeness: Medium

Actors/Campaigns:
Ghostwriter
Winter_vivern
Fancy_bear

Threats:
Spear-phishing_technique
Credential_harvesting_technique

Victims:
Polish entities

Industry:
Government

Geo:
Polish, Russian, Belarusian, Poland

CVEs:
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)

CVE-2025-49113 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.007, T1078, T1114, T1189, T1193, T1203, T1566.001, T1566.002, T1589.002

IOCs:
Email: 2
Hash: 1
Domain: 1
File: 1

Soft:
Roundcube

Algorithms:
sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Основная фишинговая кампания, приписываемая хакерскому кластеру UNC1151, нацелена на польские организации, использующие CVE-2024-42009 в Roundcube для выполнения произвольного JavaScript с помощью вредоносных электронных писем, что может привести к краже учетных данных пользователя. Другая уязвимость, CVE-2025-49113, потенциально позволяет получить полный контроль над почтовым сервером. Рекомендуется принять срочные меры по устранению уязвимости, такие как сброс пароля и отмена регистрации в Service Worker.
-----

CERT Polska сообщила о масштабной фишинговой кампании, нацеленной на различные польские организации, которые с высокой степенью достоверности приписываются хакерскому кластеру UNC1151, предположительно связанному с белорусским правительством и, возможно, с российскими спецслужбами. Кампания использует множество уязвимостей, включая CVE-2024-42009 в Roundcube, которая позволяет злоумышленнику выполнять произвольный JavaScript при открытии вредоносного электронного письма, что потенциально может привести к краже учетных данных пользователя.

Процесс начинается с рассылки электронных писем, содержащих заманчивые темы, призванные побудить получателей к немедленным действиям. Уязвимость CVE-2024-42009 имеет значительное влияние; она возникает из-за недостаточной очистки функций HTML в сообщениях электронной почты, что позволяет вредоносному JavaScript запускаться в браузере жертвы. Для использования этой уязвимости требуется устаревшая версия почтового клиента Roundcube, поскольку уязвимость была исправлена в последних обновлениях. Злоумышленники используют структуру вредоносного кода, состоящую из двух частей: первая использует уязвимость CVE-2024-42009 для установки Service Worker в браузере жертвы. Затем этот фоновый JavaScript может запускать дополнительный вредоносный код из домена злоумышленника.

Кроме того, в Roundcube была обнаружена еще одна уязвимость, CVE-2025-49113, позволяющая прошедшему проверку подлинности злоумышленнику выполнить код, потенциально позволяющий получить полный контроль над почтовым сервером. Хотя пока не было зафиксировано никаких признаков использования, сочетание этих уязвимостей может создать мощную цепочку атак. После сбора учетных данных злоумышленники проводят дальнейший анализ скомпрометированных учетных записей, в том числе получают доступ к содержимому почтовых ящиков и рассылают дополнительные фишинговые сообщения.

Пострадавшим организациям рекомендуется принудительно сбросить пароль для затронутых пользователей, проверить действия пользователей и отменить регистрацию установленных сервисных служб с помощью инструментов разработчика в браузере, чтобы снизить риски. Отчетность для организаций CSIRT имеет решающее значение для более эффективного обнаружения и реагирования на такого рода угрозы. Это свидетельствует о наметившейся тенденции, при которой злоумышленники используют устаревшие уязвимости и расширенные веб-функции для организации кражи учетных данных и последующего неправомерного использования учетной записи.

#ParsedReport #CompletenessLow
05-06-2025

Newly identified wiper malware "PathWiper" targets critical infrastructure in Ukraine

https://blog.talosintelligence.com/pathwiper-targets-ukraine/

Report completeness: Low

Actors/Campaigns:
Sandworm

Threats:
Pathwiper
Impacket_tool
Hermeticwiper

Victims:
Critical infrastructure entity

Industry:
Critical_infrastructure

Geo:
Russia, Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1005, T1018, T1059.003, T1059.005, T1070.004, T1105, T1485, T1490, T1569.002

IOCs:
File: 2
Path: 2

Functions:
RemovePath

Links:
https://github.com/fortra/impacket

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В разрушительной кибератаке на Украине участвовала ранее неизвестная вредоносная программа-очиститель PathWiper, которая предположительно была создана связанной с Россией компанией APT. Она использовала административный доступ с помощью законного инструмента для выполнения команд и перезаписи данных хранилища, нацеливаясь на критически важную инфраструктуру.
-----

Компания Cisco Talos сообщила о разрушительной кибератаке на объект критически важной инфраструктуры в Украине, связанной с ранее неизвестным вредоносным ПО wiper, известным как "PathWiper". В ходе атаки была использована легитимная платформа администрирования конечных точек, что позволяет предположить, что злоумышленники получили административный доступ к системе. Этот доступ позволял им выполнять вредоносные команды и развертывать PathWiper на различных подключенных конечных точках. Talos приписывает этот инцидент связанному с Россией злоумышленнику APT, подтверждая это предположение высоким уровнем достоверности, основанным на тактике, методах и процедурах (TTP), которые соответствуют известным вредоносным программам, использовавшимся в прошлом против украинских целей.

Атака была связана с использованием административного инструмента для выдачи команд, которые были получены клиентским программным обеспечением, запущенным на конечных точках. Эти команды выполнялись в виде пакетных файлов, что напоминает выполнение команд Impacket, хотя наличие Impacket не указано однозначно. Пакетный файл запускал вредоносный VBScript с именем uacinstall.vbs, который впоследствии записал исполняемый файл PathWiper (sha256sum.exe) на диск и инициировал его выполнение.

После запуска PathWiper начинает сбор информации о подключенных устройствах хранения и носителях на конечной точке. Это включает в себя программное обнаружение с помощью API и запрос общих сетевых дисков с использованием разделов реестра Windows. Для каждого идентифицированного диска и тома PathWiper создает отдельный поток для перезаписи сохраненных данных случайно сгенерированными байтами. Он считывает атрибуты файловой системы, в частности, относящиеся к файловой системе New Technology (NTFS), и пытается отключить тома с помощью FSCTL_DISMOUNT_VOLUME IOCTL перед выполнением операций по уничтожению данных.

Уничтожение данных PathWiper напоминает тактику, наблюдавшуюся у других wipers, в частности у HermeticWiper, которая в 2022 году атаковала украинские компании и связана с базирующейся в России группой Sandworm. Оба средства очистки нацелены на повреждение критически важных областей диска, включая главную загрузочную запись (MBR) и артефакты, связанные с NTFS. Однако в PathWiper используется более сложный процесс идентификации и проверки подключенных дисков, в отличие от более простого метода перечисления HermeticWiper. Продолжающиеся инновации и внедрение различных вариантов вредоносного ПО wiper подчеркивают постоянную угрозу, исходящую от критически важной инфраструктуры в Украине в условиях затянувшегося конфликта с Россией.

#ParsedReport #CompletenessHigh
05-06-2025

BladedFeline: Whispering in the dark

https://www.welivesecurity.com/en/eset-research/bladedfeline-whispering-dark/

Report completeness: High

Actors/Campaigns:
Bladedfeline (motivation: cyber_espionage)
Oilrig (motivation: cyber_espionage)
Siamesekitten
Europium

Threats:
Primecache
Whisper_backdoor
Shahmaran
Slippery_snakelet
Laret_tool
Pinar_tool
Spearal
Rdat
Videosrv_tool
Timestomp_technique
Credential_dumping_technique
Plink_tool
Olala_tool
Danabot
Shark
Marlin
Mango
Oilforcegtx
Dnspionage
Powerexchange

Victims:
Kurdistan regional government, Government of iraq, Kurdish diplomatic officials, Iraqi government officials, Telecommunications provider in uzbekistan, Middle eastern organizations, Lebanese organizations, United arab emirates organizations, Israeli organizations, Healthcare organizations, have more...

Industry:
Telco, Financial, Chemical, Petroleum, Energy, Healthcare, Government

Geo:
Iraq, Kurdistan, Arab emirates, Bahrain, Middle east, Kurdish, Uzbekistan, Iran, Israeli, Israel, Pakistan, Lebanon, Ukraine, Iranian, United arab emirates

TTPs:
Tactics: 9
Technics: 26

IOCs:
Path: 18
Hash: 13
File: 14
Domain: 2
Url: 1
IP: 2

Soft:
Microsoft Exchange server, PsExec, Microsoft Exchange, Windows image, Sysinternals

Algorithms:
aes, aes-cbc, base64, md5, zip, sha1

Win API:
CreateProcessW

Languages:
python, javascript, powershell

Platforms:
x64

Links:
https://github.com/Fody/Costura

#ParsedReport #ExtractedSchema

Classified images:
code: 3, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BladedFeline, связанная с Ираном APT-группа, с 2017 года атакует курдских и иракских чиновников, используя различные вредоносные программы, такие как Whisper backdoor, который регистрирует электронную почту, и PrimeCache IIS-модуль. Их инструменты демонстрируют сложную разработку вредоносных программ для кибершпионажа с целью влияния на региональную геополитику.
-----

Исследователи ESET выявили кампанию кибершпионажа, приписываемую BladedFeline, связанной с Ираном группе APT. Эта группа, которая действует по меньшей мере с 2017 года, постоянно атакует курдских и иракских правительственных чиновников, разрабатывая различные вредоносные инструменты для поддержания и расширения доступа к их системам. Исследователи обнаружили несколько вредоносных программ, используемых BladedFeline, включая обратные туннели (Laret и Pinar), бэкдор, известный как Whisper, и вредоносный модуль IIS под названием PrimeCache.

Whisper известен своей способностью входить в взломанные учетные записи веб-почты на серверах Microsoft Exchange и обмениваться данными с помощью вложений электронной почты, что делает его особенно эффективным для шпионажа. Этот бэкдор не шифрует сообщения, но использует файл конфигурации, содержащий зашифрованные учетные данные. Следовательно, он регулярно проверяет наличие команд оператора, отправляемых по электронной почте, обеспечивая скрытый контроль над скомпрометированными системами.

Модуль PrimeCache IIS функционирует аналогично бэкдору, используя новый метод выполнения команд, при котором команды оператора и параметры должны отправляться несколькими запросами, сохраняя параметры в глобальной структуре до тех пор, пока не будет запущено выполнение. Этот модуль был связан с BladedFeline благодаря сходству кода с ранее известным RDAT-бэкдором OilRig, что подтверждает предположение о том, что BladedFeline может быть подгруппой OilRig. Операционный процесс PrimeCache имеет заметные общие черты с RDAT, в частности, использование библиотеки Crypto++ и аналогичных методологий для обработки команд.

Инструменты BladedFeline, в том числе облегченный Hawking Listener.СЕТЕВОЙ двоичный файл для прослушивания команд по указанным URL-адресам, подчеркивает их постоянное развитие возможностей вредоносного ПО. Это включает временные метки и сведения о компиляции, свидетельствующие о преднамеренных методах обфускации, распространенных среди ближневосточных хакеров. Кроме того, веб-приложение Flog, загруженное тем же пользователем, который связан с Whisper, иллюстрирует постоянные попытки группы использовать уязвимости в веб-приложениях для внедрения своего кода в целевые системы.

Исторически сложилось так, что BladedFeline с 2017 года закрепился в региональном правительстве Курдистана (КРГ), используя различные типы бэкдоров, включая Shahmaran, который взаимодействует через жестко запрограммированные порты и предназначен для работы в обычной системе. Продолжающийся кибершпионаж этой группировки, по-видимому, носит стратегический характер, поскольку отношения КРГ с западными державами и его нефтяные ресурсы делают его важной мишенью для связанных с Ираном хакеров, стремящихся расширить геополитическое влияние в регионе.

Таким образом, продолжающаяся разработка и внедрение BladedFeline сложного арсенала вредоносных программ и бэкдоров подчеркивает приверженность группы кибершпионажу против правительственных организаций, в то время как их связь с OilRig предполагает более глубокие организационные связи в рамках кибератак Ирана, направленных на подрыв региональной стабильности.

#ParsedReport #CompletenessLow
05-06-2025

Trapped by a Call: The Digital Arrest Scam

https://www.seqrite.com/blog/trapped-by-a-call-the-digital-arrest-scam/

Report completeness: Low

Threats:
Typosquatting_technique
Anydesk_tool
Teamviewer_tool

Industry:
Financial, Government

Geo:
India, Indian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1114, T1121, T1189, T1204.002, T1219, T1556.004, T1566.001, T1566.002, have more...

IOCs:
Email: 2

Soft:
Laravel, WhatsApp, Zoom

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенничество с "цифровым арестом" предполагает, что мошенники используют персональные данные, полученные в результате крупных взломов, для создания надежных профилей и кражи личных данных. Методы включают подделку идентификатора вызывающего абонента, поддельные правительственные сообщения и сложные платежные системы. Искусственный интеллект помогает выявлять и предотвращать эти мошеннические действия, отслеживая звонки, поведение банков и предупреждая пользователей о потенциальных мошенниках.
-----

Серьезной угрозой стала афера с "цифровым арестом", при которой мошенники используют персональные данные, полученные в результате крупных утечек данных, для создания индивидуальных и правдоподобных профилей своих жертв. Недавний взлом в апреле 2024 года с участием BoAt, в результате которого были раскрыты данные 7,5 миллионов клиентов, включал конфиденциальную информацию, такую как имена и контактные данные, которые позже появились в даркнете. В другом инциденте, связанном с системой Hathway, была использована уязвимость в Laravel, что привело к утечке важных данных клиентов, включая номера Aadhaar и другие документы, удостоверяющие личность. Накопленные данные способствуют росту краж личных данных и целенаправленному мошенничеству.

Мошенничество обычно начинается с кажущегося вполне законным телефонного звонка от человека, выдающего себя за государственного чиновника, который обвиняет жертву в серьезных преступлениях. Беспокойство, усиливаемое точной личной информацией, предоставленной во время разговора, делает его еще более убедительным. Мошенники используют различные инструменты, включая подмену номера для отображения официальных идентификаторов вызывающих абонентов и приложения для видеоконференцсвязи, такие как WhatsApp или Zoom, часто используя поддельные фоны полицейского участка, чтобы повысить свой авторитет. Поддельные текстовые сообщения и электронные письма, имитирующие законную правительственную переписку, в комплекте с поддельными судебными повестками или извещениями о начале расследования, еще больше усиливают их хитрость.

Платежные механизмы, используемые этими мошенниками, становятся все более изощренными. Они копируют хорошо известные банковские платежные шлюзы и приобретают действующие SSL-сертификаты, чтобы убедить жертв в их легитимности. Также используется использование доменов, напоминающих настоящие правительственные веб-сайты, для заманивания в ловушку ничего не подозревающих людей. Жертв часто принуждают к совершению транзакций под давлением, причем платежные запросы, как представляется, поступают от заслуживающих доверия органов власти.

Роль искусственного интеллекта в борьбе с этими видами мошенничества стала решающей. Передовые системы искусственного интеллекта анализируют входящие звонки и сообщения, отмечая известные номера мошенников и выдавая предупреждения, например "Обнаружен общий доступ к экрану", если мошенники пытаются установить вредоносные приложения. Кроме того, искусственный интеллект отслеживает поведение банков, обнаруживая любые подозрительные транзакции, такие как крупные денежные переводы или необычные логины, и предупреждает жертв о необходимости проверки платежей перед завершением. Функции безопасного банковского обслуживания также защищают пользователей от попыток фишинга, блокируя небезопасные платежные порталы и уведомляя их о любых несанкционированных переадресациях вызовов или манипуляциях с SIM-картами, позволяя частным лицам принимать превентивные меры до совершения мошеннических транзакций.

#ParsedReport #CompletenessLow
06-06-2025

Operation Endgame Disrupts AvCheck, Forces Threat Actors to Seek Alternatives

https://www.esentire.com/blog/operation-endgame-disrupts-avcheck-forces-threat-actors-to-seek-alternatives

Report completeness: Low

Threats:
Kleenscan_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1204, T1562.001, T1588.002

IOCs:
Domain: 5

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют сервисы "шифрования" для упаковки вредоносного ПО, что делает его менее обнаруживаемым системами безопасности. Они тестируют вредоносное ПО с помощью антивирусных средств и принимают решение о его распространении, основываясь на показателях обнаружения. После сбоев, подобных операции "Эндшпиль", хакеры быстро адаптируются, переключаясь на новые сервисы, что подчеркивает динамичный характер методов борьбы с киберпреступностью.
-----

Подразделение eSentire по реагированию на угрозы (TRU) изучает тактику, используемую киберпреступниками, уделяя особое внимание использованию "криптографических" сервисов — инструментов, которые кодируют вредоносное ПО, чтобы избежать обнаружения системами безопасности. Киберпреступники применяют систематическую методологию, позволяющую добиться максимального успеха, начиная с использования шифровальщиков для упаковки оригинального вредоносного ПО, что делает его менее обнаруживаемым. После упаковки вредоносного ПО оно загружается в различные службы сканирования для проверки на соответствие антивирусным системам и системам обнаружения конечных точек. Основываясь на результатах, злоумышленники решают, распространять ли вредоносное ПО или вернуться к его переупаковке, используя другие методы, если уровень обнаружения высок.

Один из ключевых игроков в этой экосистеме, KleenScan, предлагает удобный интерфейс для этой цели, позволяющий пользователям загружать свои проекты и тестировать их эффективность с помощью целого ряда антивирусных движков. Эта служба явно придерживается политики "запрета распространения", гарантирующей конфиденциальность образцов вредоносных программ и, таким образом, снижающей вероятность их обнаружения поставщиками средств безопасности. Этот подход иллюстрирует, как сервисы сканирования позиционируют себя потенциальным пользователям-киберпреступникам, как это было видно, когда пользователь по имени "kleenscan" рекламировал эту возможность на хакерском форуме незадолго до отключения сервиса AvCheck.

Недавняя операция правоохранительных органов "Эндшпиль" (Operation Endgame) успешно нарушила работу AvCheck, выявив уязвимости в инфраструктурах киберпреступников. Это нарушение продемонстрировало способность хакеров к адаптации, которые быстро перешли на такие сервисы, как KleenScan и Scanner. Этот сдвиг подчеркивает децентрализованный характер киберпреступности и быструю реакцию злоумышленников на изменения в их операционной среде. По сути, эти сервисы сканирования вредоносных программ являются важнейшими компонентами экосистемы киберпреступности, позволяя преступникам убедиться в том, что их творения невозможно обнаружить, прежде чем они будут запущены в действие. Документированный процесс — упаковка, тестирование, распространение или повторная упаковка - иллюстрирует методический подход, лежащий в основе многих современных кибератак, и подчеркивает продолжающуюся борьбу между хакерами и средствами защиты от кибербезопасности в меняющемся ландшафте.

#ParsedReport #CompletenessMedium
06-06-2025

Analysis of the latest Mirai wave exploiting TBK DVR devices with CVE-2024-3721

https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/

Report completeness: Medium

Threats:
Mirai
Bashlite

Victims:
Dvr devices

Industry:
Iot

Geo:
Egypt, Turkey, India, Brazil, Ukraine, Russia, China

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.004, T1082, T1105, T1190, T1497.001, T1498, T1587.001

IOCs:
Hash: 16
IP: 11
Url: 1

Soft:
Linux, QEMU

Algorithms:
rc4, xor, md5

Platforms:
arm

Links:
https://github.com/netsecfish/tbk\_dvr\_command\_injection

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Использование CVE-2024-3721 позволяет ботам, связанным с ботнетом Mirai, выполнять несанкционированные команды на устройствах TBK DVR с помощью вредоносных POST-запросов. Этот вариант бота расширяет возможности обхода и нацелен на устройства Интернета вещей для DDoS-атак, поскольку более 50 000 устройств DVR по всему миру подвержены атакам. Немедленное обновление уязвимых систем имеет решающее значение для смягчения последствий.
-----

Использование хорошо документированных уязвимостей системы безопасности для развертывания ботов в скомпрометированных системах является постоянной проблемой в сфере кибербезопасности. Примечательно, что многие автоматизированные боты ищут в Интернете уязвимости в серверах и устройствах, особенно в тех, которые используют широко используемые сервисы. Эти боты часто используют эксплойты удаленного выполнения кода (RCE), нацеленные на HTTP-сервисы, облегчающие выполнение команд Linux с помощью запросов GET или POST. Недавнее наблюдение выявило использование CVE-2024-3721, которое позволило боту проникнуть в сервис honeypot, выявив его связь с печально известной ботнет-сетью Mirai, которая в основном нацелена на системы мониторинга видеорегистраторов, используемые для записи видеозаписей с камер наблюдения.

CVE-2024-3721 содержит критическую уязвимость, которая позволяет выполнять несанкционированные команды на устройствах TBK DVR, создавая путь для злоумышленников с помощью специального вредоносного POST-запроса. Этот запрос предоставляет краткий сценарий оболочки, который загружает и выполняет двоичный файл ARM32 на целевом компьютере. Несмотря на то, что исходный код ботнета Mirai был опубликован почти десять лет назад и с тех пор был адаптирован различными киберпреступниками для масштабных операций по DDoS-атакам и захвату ресурсов, текущая версия DVR-бота включает в себя такие усовершенствования, как шифрование строк с помощью RC4, проверки на обнаружение виртуальных машин и методы, позволяющие избежать эмуляции.

В ходе анализа вредоносная программа систематически опрашивает запущенные процессы, чтобы определить, работает ли она в виртуализированной среде, проверяя каталог /proc на наличие признаков процессов VMware или QEMU-arm. Успешное завершение этих проверок позволяет боту завершить последовательность выполнения, одновременно подготавливая скомпрометированное устройство к приему команды.

Телеметрические данные, полученные в ходе этого расследования, показывают, что большинство намеченных жертв проживают в нескольких странах, включая Китай, Индию, Египет, Украину, Россию, Турцию и Бразилию. Общее количество уязвимых и зараженных устройств по всему миру остается неопределенным, но данные свидетельствуют о том, что в настоящее время более 50 000 незащищенных видеорегистраторов доступны онлайн, что представляет собой множество целей для злоумышленников, использующих незащищенные уязвимости.

Продолжающееся использование известных уязвимостей в устройствах Интернета вещей (IoT) и незащищенных серверах, наряду с пагубным распространением вредоносного ПО, ориентированного на Linux, в значительной степени способствует распространению ботов, которые постоянно ищут новых жертв. В первую очередь, эти боты предназначены для проведения DDoS-атак. Однако многие из них перестают функционировать после перезагрузки устройства из-за ограничений встроенного ПО на изменения файловой системы. Для предотвращения таких заражений рекомендуется немедленно обновлять уязвимые устройства после выпуска исправлений безопасности. Для особо уязвимых устройств также может потребоваться сброс настроек к заводским. Средства обнаружения этих угроз классифицируются как HEUR:Backdoor.Linux.Mirai и HEUR:Backdoor.Linux.Gafgyt в продуктах Kaspersky.