
Los sistemas Linux orientados a Internet y los dispositivos de Internet de las cosas (IoT) están siendo atacados como parte de una nueva campaña diseñada para extraer criptomonedas de forma ilícita.
“Los actores de amenazas detrás del ataque utilizan una puerta trasera que implementa una amplia gama de herramientas y componentes, como rootkits y un bot de IRC, para robar recursos del dispositivo para operaciones mineras”, dijo el investigador de inteligencia de amenazas de Microsoft, Rotem Sde-Or. dicho.
“La puerta trasera también instala una versión parcheada de OpenSSH en los dispositivos afectados, lo que permite a los actores de amenazas secuestrar las credenciales de SSH, moverse lateralmente dentro de la red y ocultar conexiones SSH maliciosas”.
Para llevar a cabo el esquema, los hosts Linux mal configurados son forzados a obtener acceso inicial, luego de lo cual los actores de amenazas se mueven para deshabilitar el historial de shell y obtener una versión troyanizada de OpenSSH desde un servidor remoto.
El paquete falso de OpenSSH está configurado para instalar y ejecutar la puerta trasera, un script de shell que permite a los atacantes distribuir cargas útiles adicionales y realizar otras actividades posteriores a la explotación.
Esto incluye extraer información sobre el dispositivo, instalar rootkits de código abierto llamados diamorfina y Reptil de GitHub y tomando medidas para ocultar su actividad borrando registros que podrían alertar de su presencia.
“Para garantizar el acceso SSH persistente al dispositivo, la puerta trasera agrega dos claves públicas a los archivos de configuración de claves autorizadas de todos los usuarios en el sistema”, dijo el fabricante de Windows.
El implante también busca monopolizar los recursos del sistema infectado al eliminar los procesos de criptominería de la competencia que ya pueden estar ejecutándose en él antes de lanzar su minero.
Además, ejecuta una versión modificada de ZiggyStarTux, un cliente de denegación de servicio distribuido (DDoS) basado en IRC que es capaz de ejecutar comandos bash emitidos desde el servidor de comando y control (C2). Se basa en otro malware de botnet llamado Kaiten (también conocido como Tsunami).

Los ataques, señaló el gigante tecnológico, aprovechan el subdominio de una institución financiera del sudeste asiático no identificada para las comunicaciones C2 en un intento de disfrazar el tráfico malicioso.
Vale la pena señalar que el modus operandi detallado por Microsoft se superpone con un informe reciente del AhnLab Security Emergency Response Center (ASEC), que detalla los ataques dirigidos a servidores Linux expuestos con malware de criptominería y una variante de botnet Tsunami denominada Ziggy.
La operación se remonta a un actor llamado asterzeu, que ofreció el conjunto de herramientas a la venta en el mercado de malware como servicio. “La complejidad y el alcance de este ataque son indicativos de los esfuerzos que hacen los atacantes para evadir la detección”, dijo Sde-Or.
El desarrollo se produce cuando los actores de amenazas explotan activamente múltiples fallas de seguridad conocidas en enrutadores, grabadoras de video digital y otro software de red para implementar el malware de botnet Mirai, según Akamai y Palo Alto Redes Unidad 42.
“La botnet Mirai, descubierta en 2016, todavía está activa hoy”, dijeron los investigadores de Uni 42. “Una parte importante de la razón de su popularidad entre los actores de amenazas radica en las fallas de seguridad de los dispositivos IoT”.
“Estas vulnerabilidades de ejecución remota de código dirigidas a dispositivos IoT exhiben una combinación de baja complejidad y alto impacto, lo que las convierte en un objetivo irresistible para los actores de amenazas”.






