Szkodliwe oprogramowanie VPNFilter, które infekuje routery MikroTik, zostało wzbogacone o nowe funkcje – informuje Cisco Talos. Wirus infekuje urządzenia w trzech krokach: w pierwszym instalowany jest program pozwalający na uruchamianie VPNFilter nawet po restarcie urządzenia, w drugim pobierane są moduły potrzebne do trzeciej fazy.

Dotychczas wśród modułów dostarczanych przez oprogramowanie w 3 fazie były m.in. sniffer pakietów, narzędzie do połączenia z siecią Tor czy wirus wykorzystujący exploity JavaScript. W najnowszej wersji dodano 7 nowych narzędzi:

  • htpx – do przeglądania ruchu HTTP i infekowania plików .exe wysyłanych przez ten protokół;
  • ndbr – do obsługi protokołu SSH;
  • nm – do skanowania sieci (w szczególności w poszukiwaniu innych urządzeń MikroTik);
  • netfilter – do tworzenia reguł zapory sieciowej (umożliwia przeprowadzenie DoS);
  • portforwarding – do przekierowania ruchu sieciowego;
  • socks5proxy –  do tworzenia proxy SOCKS5 (na porcie 5380);
  • tcpvpn – do uruchamiania reverse DNS.

Źródło: https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html