La red de bots Mirai aprovecha fallos de día cero para ataques DDoS
InfectedSlurs, una botnet Mirai ha estado explotando dos programas de día cero ejecución remota de código (RCE) de día cero. El malware se dirige a dispositivos routers y grabadores de vídeo (NVR), con el objetivo de convertirlos en parte de su enjambre de denegación de servicio distribuido (DDoS). Aunque la botnet fue descubierta en octubre de 2023se cree que sus actividades iniciales se remontan a la segunda mitad de 2022. En este blog, analizaremos cómo se descubrió la red de bots, cómo funciona y mucho más.
Detalles de la detección de la red de bots Mirai
La botnet fue descubierta cuando el Equipo de Respuesta de Inteligencia de Seguridad (SIRT) de Akamai detectó actividad maliciosa relacionada con los honeypots de la empresa. Por el momento, se cree que la actividad maliciosa se inició para atacar un puerto TCP poco utilizado. Los equipos SIRT observaron fluctuaciones con respecto a la frecuencia de los exploits de día cero.
Un análisis de análisis de las vulnerabilidades de día ceropublicado por Akamai, "La actividad comenzó con una pequeña ráfaga, alcanzando un máximo de 20 intentos al día, y luego se redujo a un promedio de dos a tres por día, con algunos días completamente desprovistos de intentos". Cabe mencionar que los dispositivos vulnerables que cayeron presa de la botnet fueron desconocidos hasta el 9 de noviembre de 2023.
Inicialmente, las sondas eran de baja frecuencia e intentaban autenticarse mediante una solicitud POST. Una vez obtenido el acceso, la red de bots intentaba inyectar comandos. Los investigadores también han determinado que la botnet utilizaba credenciales de administrador predeterminadas para instalar variantes de Mirai.
Tras una observación más detallada, se descubrió que los routers LAN inalámbricos, construidos para hoteles y residencias, también eran objetivo del botnet botnet Mirai. Akamai comentó el fallo RCE explotado para el acceso no autorizado: "El SIRT hizo una comprobación rápida de los CVEs conocidos por afectar a los dispositivos NVR de este proveedor y se sorprendió al descubrir que estábamos ante un nuevo exploit de día cero que estaba siendo aprovechado activamente en la naturaleza."
InfectedSlurs, JenX y hailBot
Se sospecha que la red de bots InfectedSlurs está tejida con otras amenazas de ciberseguridad como JenX y hailBot. La botnet debe su nombre al uso de lenguaje racista y ofensivo en los servidores y cadenas de comando y control (C2). Por ahora, los investigadores creen que esta botnet es una variante del malware JenX Mira que surgió en 2018.
Aunque la botnet utiliza principalmente la variante JenX, algunas muestras parecían estar vinculadas también a la variante hailBot. Quienes deseen implantar medidas de seguridad de red relacionadas con este exploit deben saber que el nombre de archivo JenX es "jxkl y el nombre de archivo supuesto para hailBot contendría "skid".
Otro identificador único para hailBot es la cadena de consola "granizo china continental" que se hace evidente durante la ejecución. Esto era frecuente en una muestra procedente del servidor C2 "5.181.80[.]120" y llamaba al nombre de dominio "husd8uasd9[.]online".
También se descubrieron otras menciones a una infraestructura C2 de usuarios de telegram eliminados en un mercado DDoS llamado "DStatCC". Además, los ataques de la botnet Mirai inicial y la utilizada en octubre parecen bastante similares, ya que utilizan las mismas funciones y tienen como objetivo las mismas ubicaciones de memoria.
Estrategias de mitigación de ciberataques
Antes de hablar de prevención de vulnerabilidades de botnetel equipo SIRT está trabajando con diferentes agencias de ciberseguridad para notificar a los proveedores afectados por la botnet. Los detalles de los proveedores no han sido revelados, ya que podría aumentar el número de exploits.
Seguridad de Internet de las Cosas (IoT) las medidas para la prevención de tales ataques varían para las infecciones InfectedSlur y los ataques DDoS.
- Para infecciones por InfectedSlur:
- Compruebe y sustituya las credenciales por defecto.
- Aísle los dispositivos vulnerables e investigue si están en peligro.
- Para Prevención de ataques DDoS:
- Aplicar Recomendaciones CISA.
- Examinar subredes y espacios IP.
- Desarrollar controles de seguridad DDoS.
- Probar y eliminar las posibilidades de movimientos laterales.
Conclusión
La botnet InfectedSlur aprovecha dos vulnerabilidades RCE desconocidas para atacar dispositivos NVR. Aunque el malware acaba de ser descubierto, sus actividades se remontan a 2022. La botnet está tejida con variantes anteriores que incluyen JenX y hailBot. Por el momento no se han desplegado parches; sin embargo, la adhesión a medidas proactivas de ciberseguridad puede ayudar a mejorar la seguridad y a protegerse de las amenazas.
La fuente de esta pieza incluye artículos en The Hacker News y Bleeping Computer.