Замечены два ботнета Mirai, Lzrd и Resgod, эксплуатирующие уязвимость Wazuh

Эксперты по кибербезопасности компании Akamai обнаружили новую угрозу: два отдельных ботнета активно используют критическую уязвимость в программном обеспечении безопасности Wazuh , открытом исходном коде XDR и SIEM-решении, для распространения вредоносного ПО Mirai.

Эта уязвимость, отслеживаемая как CVE-2025-24016 , затрагивает версии Wazuh с 4.4.0 по 4.9.0 и с тех пор была исправлена ​​в версии 4.9.1. Она позволяет злоумышленникам запускать свой собственный код на целевом сервере, отправляя специально созданный запрос через API Wazuh, тем самым позволяя злоумышленникам удаленно управлять пораженными серверами.

Стоит отметить, что это первый случай активных атак с использованием этой уязвимости, что подчеркивает тревожную тенденцию, когда киберпреступники быстро превращают недавно обнаруженные уязвимости в инструменты своих кампаний.

Технический отчет , предоставленный Hackread.com, показывает, что группа разведки и реагирования на угрозы безопасности (SIRT) компании Akamai впервые заметила подозрительную активность в своей глобальной сети ханипотов в марте 2025 года, всего через несколько недель после того, как уязвимость была обнародована в феврале 2025 года.

Команда выявила два отдельных ботнета, использующих этот эксплойт. Первый ботнет начал свои атаки в начале марта, используя уязвимость для загрузки и запуска вредоносного скрипта. Затем этот скрипт сбрасывает основное вредоносное ПО Mirai , которое предназначено для заражения широкого спектра устройств Интернета вещей (IoT).

Эти варианты Mirai, иногда называемые morte , можно распознать по уникальному сообщению, которое они отображают, например, lzrd here . Эти первоначальные атаки использовали те же данные авторизации, что и общедоступный эксплойт доказательства концепции (PoC), что означает, что злоумышленники быстро адаптировали известную информацию.

Второй ботнет появился в начале мая 2025 года, также распространяя вариант Mirai под названием resgod. Этот ботнет привлек внимание, поскольку его связанные с ним сетевые адреса ( домены ) содержали звучащие по-итальянски имена, например gestisciweb.com , что означает «управление вебом». Это может означать, что злоумышленники специально пытаются атаковать устройства, принадлежащие италоговорящим пользователям. Сама вредоносная программа resgod несет в себе четкое сообщение: «Resentual поймал тебя!»

Хотя уязвимость Wazuh является основным фокусом, ботнеты не ограничивались ею. Akamai наблюдал, как эти вредоносные группы пытались использовать несколько других известных уязвимостей безопасности. К ним относятся старые уязвимости в таких системах, как Hadoop YARN, маршрутизаторы TP-Link Archer AX21 ( CVE-2023-1389 ), маршрутизаторы Huawei HG532 ( CVE-2017-17215 ) и маршрутизаторы ZTE ZXV10 H108L ( CVE-2017-18368 ). Это показывает, что злоумышленники используют широкий подход, пытаясь заразить системы через любую доступную уязвимость.

Отчет Akamai предупреждает, что преступникам по-прежнему относительно легко повторно использовать старый вредоносный код для создания новых ботнетов. Скорость, с которой эта уязвимость Wazuh была использована после ее раскрытия, подчеркивает, насколько важно для организаций применять исправления безопасности сразу же после их появления.

В отличие от некоторых уязвимостей, которые затрагивают только устаревшие устройства, CVE-2025-24016 нацелена специально на активные серверы Wazuh, если они не обновлены. Akamai настоятельно рекомендует всем пользователям обновиться до версии Wazuh 4.9.1 или более поздней, чтобы защитить свои системы.