Los investigadores de ciberseguridad han arrojado m\u00e1s luz sobre un actor chino con nombre en c\u00f3digo SecShow al que se ha observado realizando un sistema de nombres de dominio (DNS) a escala global desde al menos junio de 2023.<\/p>\n
El adversario, seg\u00fan los investigadores de seguridad de Infoblox, Dr. Ren\u00e9e Burton y Dave Mitchell, opera desde la Red de Educaci\u00f3n e Investigaci\u00f3n de China (CERNET<\/a>), un proyecto financiado por el gobierno chino.<\/p>\n “Estas sondas buscan encontrar y medir respuestas DNS en resolutores abiertos”, afirman. dicho<\/a> en un informe publicado la semana pasada. “Se desconoce el objetivo final de las operaciones de SecShow, pero la informaci\u00f3n que se recopila puede usarse para actividades maliciosas y es s\u00f3lo para el beneficio del actor”.<\/p>\n Los resolutores abiertos se refieren a servidores DNS que son capaces de aceptar y resolver nombres de dominio de forma recursiva para cualquier parte en Internet, lo que los hace aptos para ser explotados por malos actores para iniciar una denegaci\u00f3n de servicio distribuida (DDoS<\/a>) ataques como un Ataque de amplificaci\u00f3n de DNS<\/a>.<\/p>\n En el centro de las investigaciones est\u00e1 el uso de servidores de nombres CERNET para identificar solucionadores de DNS abiertos y calcular las respuestas de DNS. Esto implica enviar una consulta DNS desde un origen a\u00fan indeterminado a un solucionador abierto, lo que hace que el servidor de nombres controlado por SecShow devuelva una direcci\u00f3n IP aleatoria.<\/p>\n En un giro interesante, estos servidores de nombres est\u00e1n configurados para devolver una nueva direcci\u00f3n IP aleatoria cada vez que la consulta se realiza desde un solucionador abierto diferente, un comportamiento que desencadena una amplificaci\u00f3n de las consultas por parte del producto Palo Alto Cortex Xpanse.<\/p>\n “Cortex Xpanse trata el nombre de dominio en la consulta DNS como una URL e intenta recuperar contenido de la direcci\u00f3n IP aleatoria para ese nombre de dominio”, explicaron los investigadores. “Los cortafuegos, incluidos Palo Alto y Check Point, as\u00ed como otros dispositivos de seguridad, realizan filtrado de URL cuando reciben la solicitud de Cortex Xpanse”.<\/p>\n Este paso de filtrado inicia una nueva consulta de DNS para el dominio que hace que el servidor de nombres devuelva una direcci\u00f3n IP aleatoria diferente.<\/p>\n Es importante tener en cuenta que algunos aspectos de estas actividades de escaneo fueron divulgados previamente por Dataplane.org<\/a> e investigadores de la Unidad 42 durante los \u00faltimos dos meses. Los servidores de nombres de SecShow ya no responden a mediados de mayo de 2024.<\/p>\n SecShow es el segundo actor de amenazas vinculado a China, despu\u00e9s de Muddleling Meerkat, que realiza actividades de sondeo de DNS a gran escala en Internet.<\/p>\n “Las confusas consultas de Meerkat est\u00e1n dise\u00f1adas para mezclarse con el tr\u00e1fico DNS global y [have] permanecieron desapercibidos durante m\u00e1s de cuatro a\u00f1os, mientras que las consultas de Secshow son codificaciones transparentes de direcciones IP e informaci\u00f3n de medici\u00f3n”, dijeron los investigadores.<\/p>\n El desarrollo se produce cuando se descubri\u00f3 que un actor de amenazas con motivaci\u00f3n financiera anunciaba un nuevo servicio de botnet llamado Rebirth para ayudar a facilitar ataques DDoS<\/a>.<\/p>\n La botnet DDoS-as-a-Service (DaaS) est\u00e1 “basada en la familia de malware Mirai, y los operadores anuncian sus servicios a trav\u00e9s de Telegram y una tienda en l\u00ednea (rebirthltd.mysellix[.]io),”, el equipo de investigaci\u00f3n de amenazas de Sysdig dicho<\/a> en un an\u00e1lisis reciente.<\/p>\n La firma de ciberseguridad dijo que Rebirth (tambi\u00e9n conocido como Vulcan) se centra principalmente en la comunidad de videojuegos, alquilando la botnet a otros actores a varios precios para apuntar a servidores de juegos para obtener ganancias financieras. La evidencia m\u00e1s temprana del uso de la botnet en estado salvaje data de 2019.<\/p>\n El plan m\u00e1s barato, denominado Rebirth Basic, cuesta $15, mientras que los niveles Premium, Advanced y Diamond cuestan $47, $55 y $73 respectivamente. Tambi\u00e9n hay un plan Rebirth API ACCESS que se vende por $53.<\/p>\n El malware Rebirth admite la funcionalidad para lanzar ataques DDoS a trav\u00e9s de protocolos TCP y UDP, como Inundaci\u00f3n de ACK de TCP<\/a>, Inundaci\u00f3n TCP SYN<\/a>y inundaci\u00f3n UDP<\/a>.<\/p>\n Esta no es la primera vez que los servidores de juegos son atacados por botnets DDoS. En diciembre de 2022, Microsoft revel\u00f3 detalles de otra botnet llamada MCCrash que est\u00e1 dise\u00f1ada para apuntar a servidores privados de Minecraft.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/El-actor-chino-SecShow-realiza-una-investigacion-masiva-de-DNS.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\nRebirth Botnet ofrece servicios DDoS<\/h2>\n
<\/a><\/div>\n<\/a><\/center><\/div>\n