Una nueva botnet compuesta por firewalls y enrutadores de Cisco, DrayTek, Fortinet y NETGEAR se está utilizando como una red encubierta de transferencia de datos para actores de amenazas persistentes avanzadas, incluido el actor de amenazas vinculado a China llamado Volt Typhoon.
Apodado botnet KV Según el equipo de Black Lotus Labs en Lumen Technologies, la red maliciosa es una fusión de dos grupos de actividades complementarias que han estado activos desde al menos febrero de 2022.
«La campaña infecta dispositivos en el borde de las redes, un segmento que ha surgido como un punto débil en la defensa de muchas empresas, agravado por el cambio al trabajo remoto en los últimos años», dijo la compañía. dicho.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Se dice que los dos grupos, con nombres en código KY y JDY, son distintos pero trabajan en conjunto para facilitar el acceso a víctimas de alto perfil, así como para establecer una infraestructura encubierta. Los datos de telemetría sugieren que la botnet está controlada desde direcciones IP con sede en China.
Mientras que los bots de JDY se dedican a un escaneo más amplio utilizando técnicas menos sofisticadas, se considera que el componente KY, que presenta productos en gran medida obsoletos y al final de su vida útil, está reservado para operaciones manuales contra objetivos de alto perfil seleccionados por el primero.
Se sospecha que Volt Typhoon es al menos un usuario de la botnet KV y abarca un subconjunto de su infraestructura operativa, lo que se evidencia por la notable disminución de las operaciones en junio y principios de julio de 2023, coincidiendo con la divulgación pública de la información del colectivo adversario. Ataque a infraestructuras críticas en EE.UU.
Microsoft, que expuso por primera vez las tácticas del actor de amenazas, dijo que «intenta integrarse en la actividad normal de la red enrutando el tráfico a través de pequeñas oficinas y oficinas domésticas comprometidas (SOHO) equipos de red, incluidos enrutadores, firewalls y hardware VPN».
Actualmente se desconoce el proceso exacto del mecanismo de infección inicial utilizado para vulnerar los dispositivos. Le sigue la primera etapa del malware, que toma medidas para eliminar programas de seguridad y otras cepas de malware para garantizar que sea la «única presencia» en estas máquinas.
También está diseñado para recuperar la carga útil principal de un servidor remoto, que, además de conectarse al mismo servidor, también es capaz de cargar y descargar archivos, ejecutar comandos y ejecutar módulos adicionales.
Durante el mes pasado, la infraestructura de la botnet recibió un lavado de cara, apuntando a las cámaras IP de Axis, lo que indica que los operadores podrían estar preparándose para una nueva ola de ataques.
«Uno de los aspectos bastante interesantes de esta campaña es que todas las herramientas parecen residir completamente en la memoria», dijeron los investigadores. «Esto hace que la detección sea extremadamente difícil, a costa de una persistencia a largo plazo».
«Como el malware reside completamente en la memoria, simplemente reiniciando el dispositivo el usuario final puede detener la infección. Si bien eso elimina la amenaza inminente, la reinfección ocurre regularmente».