Se ha descubierto que una variante de la botnet Mirai explota una falla de seguridad recientemente revelada que afecta a los enrutadores industriales Four-Faith desde principios de noviembre de 2024 con el objetivo de realizar ataques distribuidos de denegación de servicio (DDoS).
La botnet mantiene aproximadamente 15.000 direcciones IP activas diarias, y las infecciones se encuentran principalmente dispersas en China, Irán, Rusia, Turquía y Estados Unidos.
Se sabe que el malware, que explota un arsenal de más de 20 vulnerabilidades de seguridad conocidas y credenciales Telnet débiles para el acceso inicial, ha estado activo desde febrero de 2024. La botnet ha sido denominada “gayfemboy” en referencia al término ofensivo presente en el código fuente.
Laboratorio QiAnXin dicho observó que el malware aprovechaba una vulnerabilidad de día cero en enrutadores industriales fabricados por Four-Faith, con sede en China, para entregar los artefactos el 9 de noviembre de 2024.
La vulnerabilidad en cuestión es CVE-2024-12856 (puntuación CVSS: 7,2), que se refiere a un error de inyección de comandos del sistema operativo (SO) que afecta a los modelos de enrutador F3x24 y F3x36 al aprovechar las credenciales predeterminadas sin cambios.
A fines del mes pasado, VulnCheck le dijo a The Hacker News que la vulnerabilidad había sido explotada en la naturaleza para colocar shells inversos y una carga útil similar a Mirai en dispositivos comprometidos.
Algunas de las otras fallas de seguridad explotadas por la botnet para ampliar su alcance y escala incluyen CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017. -5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 y CVE-2024-8957.
Una vez lanzado, el malware intenta ocultar procesos maliciosos e implementa un formato de comando basado en Mirai para buscar dispositivos vulnerables, actualizarse y lanzar ataques DDoS contra objetivos de interés.
Los ataques DDoS que aprovechan la botnet se han dirigido a cientos de entidades diferentes a diario, y la actividad alcanzó un nuevo pico en octubre y noviembre de 2024. Los ataques, si bien duran entre 10 y 30 segundos, generan un tráfico de alrededor de 100 Gbps.
La divulgación se produce semanas después de que Juniper Networks advirtiera que los productos Session Smart Router (SSR) con contraseñas predeterminadas están siendo atacados por actores maliciosos para eliminar el malware botnet Mirai. Akamai también ha revelado infecciones de malware Mirai que utilizan como arma una falla de ejecución remota de código en los DVR DigiEver.
“DDoS se ha convertido en una de las formas más comunes y destructivas de ciberataques”, dijeron los investigadores de XLab. “Sus modos de ataque son diversos, las rutas de ataque están altamente ocultas y puede emplear estrategias y técnicas en continua evolución para realizar ataques precisos contra diversas industrias y sistemas, lo que representa una amenaza significativa para empresas, organizaciones gubernamentales y usuarios individuales”.
El desarrollo también se produce cuando los actores de amenazas están aprovechando Servidores PHP susceptibles y mal configurados (por ejemplo, CVE-2024-4577) para implementar un minero de criptomonedas llamado PacketCrypt.
About the Author
