Los actores de amenazas están explotando una vulnerabilidad de día cero no especificada en los enrutadores cnPilot de Cambium Networks para implementar una variante de la botnet AISURU llamada AIRASHI para llevar a cabo ataques distribuidos de denegación de servicio (DDoS).
Según QiAnXin XLab, los ataques han apalancado la falla de seguridad desde junio de 2024. Se han ocultado detalles adicionales sobre las deficiencias para evitar mayores abusos.
Algunas de las otras fallas utilizadas por la botnet de denegación de servicio distribuido (DDoS) incluyen CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-28771así como aquellos que afectan a las cámaras IP AVTECH, DVR LILIN y dispositivos TVT de Shenzhen.
“El operador de AIRASHI ha estado publicando los resultados de sus pruebas de capacidad DDoS en Telegram”, dijo XLab. “A partir de datos históricos, se puede observar que la capacidad de ataque de la botnet AIRASHI se mantiene estable en torno a 1-3 Tbps”.
La mayoría de los dispositivos comprometidos se encuentran en Brasil, Rusia, Vietnam e Indonesia, siendo China, Estados Unidos, Polonia y Rusia los principales objetivos del enjambre malicioso.
AIRASHI es una variante del AISURU (también conocido como NAKOTNE) que fue previamente señalado por la compañía de ciberseguridad en agosto de 2024 en relación con un ataque DDoS dirigido a Steam aproximadamente al mismo tiempo que coincide con el lanzamiento del juego. Mito negro: Wukong.
También se han encontrado variaciones selectas de AIRASHI, una botnet que se actualiza con frecuencia, que incorporan funcionalidad de proxyware, lo que indica que los actores de amenazas tienen la intención de expandir sus servicios más allá de facilitar ataques DDoS.
Se dice que AISURU suspendió temporalmente sus actividades de ataque en septiembre de 2024, solo para reaparecer un mes después con funciones actualizadas (denominada kitty) y actualizado nuevamente por segunda vez a fines de noviembre (también conocido como AIRASHI).
“La muestra del gatito comenzó a difundirse a principios de octubre de 2024”, señaló XLab. “En comparación con muestras anteriores de AISURU, ha simplificado el protocolo de red. A finales de octubre, comenzó a utilizar proxies SOCKS5 para comunicarse con el servidor C2”.
AIRASHI, por otro lado, viene en al menos dos sabores diferentes:
- AIRASHI-DDoS (detectado por primera vez a finales de octubre), que se centra principalmente en ataques DDoS, pero también admite la ejecución de comandos arbitrarios y el acceso inverso al shell.
- AIRASHI-Proxy (detectado por primera vez a principios de diciembre), que es una versión modificada de AIRASHI-DDoS con funcionalidad de proxy
La botnet, además de modificar continuamente sus métodos para obtener los detalles del servidor C2 a través de consultas DNS, se basa en un protocolo de red completamente nuevo que involucra algoritmos HMAC-SHA256 y CHACHA20 para la comunicación. Además, AIRASHI-DDoS admite 13 tipos de mensajes, mientras que AIRASHI-Proxy solo admite 5 tipos de mensajes.
Los hallazgos muestran que los malos actores continúan explotando las vulnerabilidades en los dispositivos IoT como vector de acceso inicial y para construir botnets que las utilizan para darle peso adicional a poderosos ataques DDoS.
El desarrollo se produce cuando QiAnXin arrojó luz sobre una puerta trasera multiplataforma llamada alphatronBot que se ha dirigido al gobierno y las empresas chinas para incluir sistemas Windows y Linux infectados en una botnet. Activo desde principios de 2023, el malware adoptó una aplicación legítima de chat peer-to-peer (P2P) de código abierto llamada Chat entre pares para hablar con otros nodos infectados.
La naturaleza descentralizada del protocolo P2P significa que un atacante puede emitir comandos a través de cualquiera de los nodos comprometidos sin tener que enrutarlos a través de un único servidor C2, lo que hace que la botnet sea mucho más resistente a los ataques.
“Las más de 700 redes P2P integradas en la puerta trasera constan de componentes de dispositivos de red infectados de 80 países y territorios”, dijo la empresa. dicho. “Los nodos involucran enrutadores MikroTik, cámaras Hikvision, servidores VPS, enrutadores DLink, dispositivos CPE, etc.”
El año pasado, XLab también detalló un marco de entrega de carga útil sofisticado y sigiloso con nombre en código DarkCracks que explota sitios GLPI y WordPress comprometidos para funcionar como descargadores y servidores C2.
“Sus objetivos principales son recopilar información confidencial de los dispositivos infectados, mantener el acceso a largo plazo y utilizar los dispositivos comprometidos, estables y de alto rendimiento como nodos de retransmisión para controlar otros dispositivos o entregar cargas útiles maliciosas, ocultando efectivamente la huella del atacante”, dicho.
“Se descubrió que los sistemas comprometidos pertenecían a infraestructura crítica en diferentes países, incluidos sitios web de escuelas, sistemas de transporte público y sistemas de visitantes de prisiones”.
About the Author
