Se ha descubierto (otra) variante de la botnet Mirai que explota una falla de
seguridad recientemente descubierta que afecta a los routers industriales
Four-Faith desde principios de noviembre de 2024 con el objetivo de realizar
ataques distribuidos de denegación de servicio (DDoS).
La botnet mantiene aproximadamente
15.000 direcciones IP activas diarias
y las infecciones se encuentran principalmente repartidas por China, Irán,
Rusia, Turquía y Estados Unidos.
Se sabe que el malware, que explota un arsenal de más de 20
vulnerabilidades de seguridad conocidas y credenciales Telnet débiles para
el acceso inicial, ha estado activo desde febrero de 2024.
La botnet ha sido bautizada como «gayfemboy» en referencia al término ofensivo
presente en el código fuente.
QiAnXin XLab afirmó
que observó que el malware aprovechaba una vulnerabilidad Zero-Day en los
routers industriales fabricados por Four-Faith, con sede en China. La
vulnerabilidad en cuestión es
CVE-2024-12856
(CVSS: 7,2), que se refiere a un error de inyección de comandos del sistema
operativo (OS) que afecta a los modelos F3x24 y F3x36, al aprovechar las
credenciales predeterminadas sin cambios.
A fines del mes pasado,
VulnCheck dijo
que la vulnerabilidad se había explotado para lanzar reverse shells y
una carga útil similar a Mirai en dispositivos comprometidos.
Algunas de las otras fallas de seguridad que la botnet aprovechó para extender
su alcance y escala
incluyen
CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215,
CVE-2017-5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801,
CVE-2024-8956 y CVE-2024-8957.
Una vez lanzado, el malware intenta ocultar procesos maliciosos e implementa
un formato de comando basado en Mirai para escanear dispositivos vulnerables,
actualizarse y lanzar ataques DDoS contra objetivos de interés.
Los ataques DDoS que aprovechan la botnet han tenido como objetivo a cientos
de entidades diferentes a diario, y la actividad alcanzará un nuevo pico en
octubre y noviembre de 2024. Los ataques, aunque duran entre 10 y 30 segundos,
generan un tráfico de alrededor de 100 Gbps.
La revelación se produce semanas después de que
Juniper Networks advirtiera
que los productos Session Smart Router (SSR) con contraseñas predeterminadas
están siendo atacados por actores maliciosos para lanzar el malware de la
botnet Mirai. Akamai también ha revelado infecciones de malware Mirai que
utilizan como arma una falla de ejecución de código remoto en los DVR
DigiEver.
«Los DDoS se han convertido en una de las formas más comunes y destructivas
de ataques cibernéticos», dijeron los investigadores de XLab.
«Sus modos de ataque son diversos, las rutas de ataque están muy ocultas y
puede emplear estrategias y técnicas en constante evolución para realizar
ataques precisos contra varias industrias y sistemas, lo que representa una
amenaza significativa para empresas, organizaciones gubernamentales y
usuarios individuales».
El desarrollo también se produce en un momento en que los actores de amenazas
están aprovechando servidores PHP susceptibles
y mal configurados (por ejemplo,
CVE-2024-4577) para implementar un minero de criptomonedas llamado PacketCrypt.
Fuente:
THN