Una campa\u00f1a activa de malware est\u00e1 aprovechando dos vulnerabilidades de d\u00eda cero con funcionalidad de ejecuci\u00f3n remota de c\u00f3digo (RCE) para conectar enrutadores y grabadores de video a una botnet de denegaci\u00f3n de servicio distribuida (DDoS) basada en Mirai.<\/p>\n
“La carga \u00fatil se dirige a enrutadores y dispositivos de grabaci\u00f3n de v\u00eddeo en red (NVR) con credenciales de administrador predeterminadas e instala variantes de Mirai cuando tiene \u00e9xito”, Akamai dicho<\/a> en un aviso publicado esta semana.<\/p>\n Los detalles de las fallas se encuentran actualmente en secreto para permitir a los dos proveedores publicar parches y evitar que otros actores de amenazas abusen de ellos. Se espera que las correcciones para una de las vulnerabilidades se env\u00eden el pr\u00f3ximo mes.<\/p>\n Los ataques fueron descubiertos por primera vez por la empresa de seguridad e infraestructura web contra sus honeypots a finales de octubre de 2023. Los autores de los ataques a\u00fan no han sido identificados.<\/p>\n La botnet, cuyo nombre en c\u00f3digo es InfectedSlurs debido al uso de lenguaje racial y ofensivo en los servidores de comando y control (C2) y cadenas codificadas, es una Variante del malware JenX Mirai<\/a> que sali\u00f3 a la luz en enero de 2018.<\/p>\n Akamai dijo que tambi\u00e9n identific\u00f3 muestras de malware adicionales que parec\u00edan estar relacionadas con la variante hailBot Mirai, la \u00faltima de las cuales surgi\u00f3 en septiembre de 2023, seg\u00fan un an\u00e1lisis reciente de NSFOCUS.<\/p>\n “El hailBot se desarrolla bas\u00e1ndose en el c\u00f3digo fuente de Mirai, y su nombre se deriva de la cadena de informaci\u00f3n ‘hail china continental’ que sale despu\u00e9s de ejecutarse”, dijo la firma de ciberseguridad con sede en Beijing. anotado<\/a>detallando su capacidad para propagarse mediante la explotaci\u00f3n de vulnerabilidades y contrase\u00f1as d\u00e9biles.<\/p>\n El desarrollo llega como Akamai detallado<\/a> un shell web llamado wso-ng, una “iteraci\u00f3n avanzada” de WSO (abreviatura de “web shell de oRb”) que se integra con herramientas leg\u00edtimas como VirusTotal y SecurityTrails mientras oculta sigilosamente su interfaz de inicio de sesi\u00f3n detr\u00e1s de una p\u00e1gina de error 404 al intentar acceder a \u00e9l. .<\/p>\n Una de las capacidades de reconocimiento notables del web shell implica la recuperaci\u00f3n de metadatos de AWS para su posterior movimiento lateral, as\u00ed como la b\u00fasqueda de posibles conexiones de bases de datos de Redis para obtener acceso no autorizado a datos confidenciales de las aplicaciones.<\/p>\n “Los shells web permiten a los atacantes ejecutar comandos en servidores para robar datos o utilizar el servidor como plataforma de lanzamiento para otras actividades como robo de credenciales, movimiento lateral, despliegue de cargas \u00fatiles adicionales o actividad pr\u00e1ctica con el teclado, al tiempo que permiten a los atacantes persistir en una organizaci\u00f3n afectada”, Microsoft dicho<\/a> en 2021.<\/p>\n El uso de web shells disponibles en el mercado tambi\u00e9n se considera un intento por parte de los actores de amenazas de desafiar los esfuerzos de atribuci\u00f3n y pasar desapercibidos, un sello clave de los grupos de ciberespionaje que se especializan en la recopilaci\u00f3n de inteligencia.<\/p>\n Otra t\u00e1ctica com\u00fan adoptada por los atacantes es el uso de dominios comprometidos pero leg\u00edtimos para fines C2 y distribuci\u00f3n de malware.<\/p>\n En agosto de 2023, Infoblox revel\u00f3 un ataque generalizado<\/a> que involucran sitios web de WordPress comprometidos que redirigen condicionalmente a los visitantes a dominios intermediarios C2 y de algoritmo de generaci\u00f3n de dominios de diccionario (DDGA). El actividad<\/a> se ha atribuido a un actor de amenazas llamado VexTrio.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Botnet-basada-en-Mirai-que-aprovecha-errores-de-dia-cero.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n