Los investigadores de ciberseguridad han advertido sobre una nueva campaña a gran escala que explota las fallas de seguridad en las cámaras IP AVTECH y los enrutadores Huawei HG532 para vincular los dispositivos a una variante de botnet Mirai denominada Murdoc_Botnet.
La actividad en curso “demuestra capacidades mejoradas, explotando vulnerabilidades para comprometer dispositivos y establecer redes de botnet expansivas”, dijo en un análisis el investigador de seguridad de Qualys, Shilpesh Trivedi.
Se sabe que la campaña está activa desde al menos julio de 2024, con más de 1.370 sistemas infectados hasta la fecha. La mayoría de las infecciones se han localizado en Malasia, México, Tailandia, Indonesia y Vietnam.
La evidencia muestra que la botnet aprovecha fallas de seguridad conocidas como CVE-2017-17215 y CVE-2024-7029 para obtener acceso inicial a los dispositivos de Internet de las cosas (IoT) y descargar la carga útil de la siguiente etapa mediante un script de shell.
El script, por su parte, recupera el malware de la botnet y lo ejecuta según la arquitectura de la CPU. El objetivo final de estos ataques es convertir la botnet en un arma para llevar a cabo ataques distribuidos de denegación de servicio (DDoS).
El desarrollo se produce semanas después de que se descubriera que una variante de la botnet Mirai llamada gayfemboy explotaba una falla de seguridad recientemente revelada que afectaba a los enrutadores industriales Four-Faith desde principios de noviembre de 2024. A mediados de 2024, Akamai también reveló que actores maliciosos abusaron de CVE-2024-7029. para incluir dispositivos AVTECH en una botnet.
La semana pasada, surgieron detalles sobre otra campaña de ataque DDoS a gran escala dirigida a importantes corporaciones y bancos japoneses desde finales de 2024 mediante el uso de una botnet de IoT formada mediante la explotación de vulnerabilidades y credenciales débiles. Algunos de los otros objetivos se concentran en Estados Unidos, Bahréin, Polonia, España, Israel y Rusia.
Se ha descubierto que la actividad DDoS destaca los sectores de telecomunicaciones, tecnología, hosting, computación en la nube, banca, juegos y servicios financieros. Más del 55% de los dispositivos comprometidos se encuentran en India, seguida de Sudáfrica, Brasil, Bangladesh y Kenia.
“La botnet comprende variantes de malware derivadas de Mirai y BASHLITE”, Trend Micro dicho. “Los comandos de la botnet incluyen aquellos que pueden incorporar varios métodos de ataque DDoS, actualizar malware y habilitar servicios proxy”.
Los ataques implican infiltrarse en dispositivos IoT para implementar un cargador de malware que recupera la carga útil real, que luego se conecta a un servidor de comando y control (C2) y espera más instrucciones para ataques DDoS y otros propósitos.
Para protegerse contra este tipo de ataques, se recomienda monitorear los procesos, eventos y tráfico de red sospechosos generados por la ejecución de cualquier binario/script que no sea de confianza. También se recomienda aplicar actualizaciones de firmware y cambiar el nombre de usuario y la contraseña predeterminados.
About the Author
