Una campaña activa de malware está aprovechando dos vulnerabilidades de día cero con funcionalidad de ejecución remota de código (RCE) para conectar enrutadores y grabadores de video a una botnet de denegación de servicio distribuida (DDoS) basada en Mirai.
«La carga útil se dirige a enrutadores y dispositivos de grabación de vídeo en red (NVR) con credenciales de administrador predeterminadas e instala variantes de Mirai cuando tiene éxito», Akamai dicho en un aviso publicado esta semana.
Los detalles de las fallas se encuentran actualmente en secreto para permitir a los dos proveedores publicar parches y evitar que otros actores de amenazas abusen de ellos. Se espera que las correcciones para una de las vulnerabilidades se envíen el próximo mes.
Los ataques fueron descubiertos por primera vez por la empresa de seguridad e infraestructura web contra sus honeypots a finales de octubre de 2023. Los autores de los ataques aún no han sido identificados.
La botnet, cuyo nombre en código es InfectedSlurs debido al uso de lenguaje racial y ofensivo en los servidores de comando y control (C2) y cadenas codificadas, es una Variante del malware JenX Mirai que salió a la luz en enero de 2018.
Akamai dijo que también identificó muestras de malware adicionales que parecían estar relacionadas con la variante hailBot Mirai, la última de las cuales surgió en septiembre de 2023, según un análisis reciente de NSFOCUS.
«El hailBot se desarrolla basándose en el código fuente de Mirai, y su nombre se deriva de la cadena de información ‘hail china continental’ que sale después de ejecutarse», dijo la firma de ciberseguridad con sede en Beijing. anotadodetallando su capacidad para propagarse mediante la explotación de vulnerabilidades y contraseñas débiles.
El desarrollo llega como Akamai detallado un shell web llamado wso-ng, una «iteración avanzada» de WSO (abreviatura de «web shell de oRb») que se integra con herramientas legítimas como VirusTotal y SecurityTrails mientras oculta sigilosamente su interfaz de inicio de sesión detrás de una página de error 404 al intentar acceder a él. .
Una de las capacidades de reconocimiento notables del web shell implica la recuperación de metadatos de AWS para su posterior movimiento lateral, así como la búsqueda de posibles conexiones de bases de datos de Redis para obtener acceso no autorizado a datos confidenciales de las aplicaciones.
«Los shells web permiten a los atacantes ejecutar comandos en servidores para robar datos o utilizar el servidor como plataforma de lanzamiento para otras actividades como robo de credenciales, movimiento lateral, despliegue de cargas útiles adicionales o actividad práctica con el teclado, al tiempo que permiten a los atacantes persistir en una organización afectada», Microsoft dicho en 2021.
El uso de web shells disponibles en el mercado también se considera un intento por parte de los actores de amenazas de desafiar los esfuerzos de atribución y pasar desapercibidos, un sello clave de los grupos de ciberespionaje que se especializan en la recopilación de inteligencia.
Otra táctica común adoptada por los atacantes es el uso de dominios comprometidos pero legítimos para fines C2 y distribución de malware.
En agosto de 2023, Infoblox reveló un ataque generalizado que involucran sitios web de WordPress comprometidos que redirigen condicionalmente a los visitantes a dominios intermediarios C2 y de algoritmo de generación de dominios de diccionario (DDGA). El actividad se ha atribuido a un actor de amenazas llamado VexTrio.