{"id":748720,"date":"2023-05-11T08:35:45","date_gmt":"2023-05-11T08:35:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-botnet-andoryu-aprovecha-la-falla-inalambrica-critica-de-ruckus-para-un-ataque-generalizado\/"},"modified":"2023-05-11T08:35:48","modified_gmt":"2023-05-11T08:35:48","slug":"el-botnet-andoryu-aprovecha-la-falla-inalambrica-critica-de-ruckus-para-un-ataque-generalizado","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-botnet-andoryu-aprovecha-la-falla-inalambrica-critica-de-ruckus-para-un-ataque-generalizado\/","title":{"rendered":"El botnet Andoryu aprovecha la falla inal\u00e1mbrica cr\u00edtica de Ruckus para un ataque generalizado"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de punto final\/amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una botnet naciente llamada <strong>Andoryu<\/strong> se ha encontrado que <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortiguard.com\/threat-signal-report\/5151\/exploitation-spike-observed-for-ruckus-wireless-admin-rce-vulnerability-cve-2023-25717\" target=\"_blank\">explotar<\/a> una falla de seguridad cr\u00edtica ahora parcheada en el panel de administraci\u00f3n inal\u00e1mbrica de Ruckus para acceder a dispositivos vulnerables.<\/p>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/support.ruckuswireless.com\/security_bulletins\/315\" target=\"_blank\">defecto<\/a>rastreado como <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2023-25717\" target=\"_blank\">CVE-2023-25717<\/a> (puntaje CVSS: 9.8), se deriva del manejo inadecuado de las solicitudes HTTP, lo que lleva a la ejecuci\u00f3n remota de c\u00f3digo no autenticado y un compromiso total del equipo de punto de acceso (AP) inal\u00e1mbrico.<\/p>\n<p>andoryu era <a rel=\"nofollow noopener\" href=\"https:\/\/zhuanlan.zhihu.com\/p\/608397056\" target=\"_blank\">documentado por primera vez<\/a> por la firma china de ciberseguridad QiAnXin a principios de febrero, detallando su capacidad para comunicarse con servidores de comando y control (C2) usando el <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/SOCKS\" target=\"_blank\">Protocolo SOCKS5<\/a>.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683638133_693_Microsoft-advierte-sobre-ataques-patrocinados-por-el-estado-que-aprovechan.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Si bien se sabe que el malware arma las fallas de ejecuci\u00f3n remota de c\u00f3digo en GitLab (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-22205\" target=\"_blank\">CVE-2021-22205<\/a>) y Lilin DVR para la propagaci\u00f3n, la adici\u00f3n de CVE-2023-25717 muestra que Andoryu est\u00e1 expandiendo activamente su arsenal de exploits para atrapar m\u00e1s dispositivos en la botnet.<\/p>\n<p>&#8220;Contiene m\u00f3dulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control usando proxies SOCKS5&#8221;, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/andoryubot-new-botnet-campaign-targets-ruckus-wireless-admin-remote-code-execution-vulnerability-cve-2023-25717\" target=\"_blank\">dicho<\/a>a\u00f1adiendo que la \u00faltima campa\u00f1a comenz\u00f3 a finales de abril de 2023.<\/p>\n<p>Un an\u00e1lisis m\u00e1s detallado de la cadena de ataque ha revelado que una vez que se utiliza la falla de Ruckus para obtener acceso a un dispositivo, se coloca una secuencia de comandos de un servidor remoto en el dispositivo infectado para su proliferaci\u00f3n.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683794144_910_El-botnet-Andoryu-aprovecha-la-falla-inalambrica-critica-de-Ruckus.png\" alt=\"Red de bots Andoryu\" border=\"0\" data-original-height=\"399\" data-original-width=\"728\" title=\"Red de bots Andoryu\"\/><\/div>\n<p>El malware, por su parte, tambi\u00e9n establece contacto con un servidor C2 y espera instrucciones adicionales para lanzar un ataque DDoS contra objetivos de inter\u00e9s utilizando protocolos como ICMP, TCP y UDP.<\/p>\n<p>El costo asociado con el montaje de tales ataques se anuncia a trav\u00e9s de una lista en el canal Telegram del vendedor, con planes mensuales que van desde $ 90 a $ 115 seg\u00fan la duraci\u00f3n.<\/p>\n<h2 style=\"text-align: left;\">\n<p>RapperBot Botnet agrega Crypto Mining a su lista de capacidades<br \/>\n<\/h2>\n<p>La alerta sigue al descubrimiento de nuevas versiones de la red de bots RapperBot DDoS que incorporan la funcionalidad de cryptojacking para beneficiarse de los sistemas Intel x64 comprometidos al eliminar un criptominero Monero.<\/p>\n<p>Las campa\u00f1as de RapperBot se han centrado principalmente en dispositivos IoT de fuerza bruta con credenciales SSH o Telnet d\u00e9biles o predeterminadas para expandir la huella de la botnet para lanzar ataques DDoS.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Fortinet dijo que detect\u00f3 la \u00faltima iteraci\u00f3n de la actividad del minero RapperBot en enero de 2023, y los ataques entregaron un script de shell Bash que, a su vez, es capaz de descargar y ejecutar mineros criptogr\u00e1ficos XMRig separados y binarios RapperBot.<\/p>\n<p>Las actualizaciones posteriores del malware fusionaron las dos funciones dispares en un solo cliente bot con capacidades de miner\u00eda, al tiempo que tomaron medidas para terminar los procesos mineros de la competencia.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683794145_644_El-botnet-Andoryu-aprovecha-la-falla-inalambrica-critica-de-Ruckus.png\" alt=\"Red de bots Andoryu\" border=\"0\" data-original-height=\"652\" data-original-width=\"728\" title=\"Red de bots Andoryu\"\/><\/div>\n<p>Curiosamente, ninguna de las nuevas muestras de RapperBot con el minero XMRig integrado incorpora capacidades de autopropagaci\u00f3n, lo que plantea la posibilidad de un mecanismo de distribuci\u00f3n alternativo.<\/p>\n<p>&#8220;Esto sugiere la posible disponibilidad de un cargador externo operado por el actor de amenazas que abusa de las credenciales recopiladas por otras muestras de RapperBot con capacidades de fuerza bruta e infecta solo m\u00e1quinas x64 con el bot\/minero combinado&#8221;, Fortinet <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/rapperbot-ddos-botnet-expands-into-cryptojacking\" target=\"_blank\">teorizado<\/a>.<\/p>\n<p>La expansi\u00f3n de RapperBot al cryptojacking es otra indicaci\u00f3n de que los operadores de amenazas motivados financieramente no dejan piedra sin remover para &#8220;extraer el m\u00e1ximo valor de las m\u00e1quinas infectadas por sus botnets&#8221;.<\/p>\n<p>Los desarrollos gemelos tambi\u00e9n se producen cuando el Departamento de Justicia de EE. UU. anunci\u00f3 la incautaci\u00f3n de 13 dominios de Internet asociados con los servicios DDoS de alquiler.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/andoryu-botnet-exploits-critical-ruckus.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de mayo de 2023\ue804Ravie Lakshman\u00e1nSeguridad de punto final\/amenaza cibern\u00e9tica Una botnet naciente llamada Andoryu se ha encontrado<\/p>\n","protected":false},"author":1,"featured_media":748721,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,161978,6132,1247,4661,5895,4664,2458,2503,4662,79332,50037,4668,4667,4654,4658,4659,4653,4655,18,4663,161979,4666,4665,4660],"class_list":["post-748720","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-andoryu","tag-aprovecha","tag-ataque","tag-ataques-ciberneticos","tag-botnet","tag-como-hackear","tag-critica","tag-falla","tag-filtracion-de-datos","tag-generalizado","tag-inalambrica","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-programa-malicioso-ransomware","tag-ruckus","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/748720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=748720"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/748720\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/748721"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=748720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=748720"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=748720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}