Un nuevo malware llamado Condi<\/strong> Se ha observado que explota una vulnerabilidad de seguridad en los enrutadores Wi-Fi TP-Link Archer AX21 (AX1800) para conectar los dispositivos a una red de bots de denegaci\u00f3n de servicio distribuida (DDoS).<\/p>\n Laboratorios Fortinet FortiGuard dicho<\/a> la campa\u00f1a se ha intensificado desde fines de mayo de 2023. Condi es obra de un actor de amenazas que utiliza el alias en l\u00ednea zxcr9999 en Telegram y administra un canal de Telegram llamado Condi Network para publicitar su warez.<\/p>\n “El canal de Telegram se inici\u00f3 en mayo de 2022, y el actor de amenazas ha estado monetizando su botnet proporcionando DDoS como servicio y vendiendo el c\u00f3digo fuente del malware”, dijeron los investigadores de seguridad Joie Salvio y Roy Tay.<\/p>\n Un an\u00e1lisis del artefacto de malware revela su capacidad para acabar con otras botnets de la competencia en el mismo host. Sin embargo, carece de un mecanismo de persistencia, lo que significa que el programa no puede sobrevivir a un reinicio del sistema.<\/p>\n Para sortear esta limitaci\u00f3n, el malware elimina varios archivos binarios que se utilizan para apagar o reiniciar el sistema:<\/p>\n Condi, a diferencia de algunas botnets que se propagan mediante ataques de fuerza bruta, aprovecha un m\u00f3dulo de escaneo que busca dispositivos TP-Link Archer AX21 vulnerables y, si es as\u00ed, ejecuta un script de shell recuperado de un servidor remoto para depositar el malware.<\/p>\n Espec\u00edficamente, el esc\u00e1ner identifica enrutadores susceptibles a CVE-2023-1389 (puntaje CVSS: 8.8), un error de inyecci\u00f3n de comando<\/a> que fue explotado previamente por la red de bots Mirai.<\/p>\n Fortinet dijo que encontr\u00f3 otras muestras de Condi que explotaban varias fallas de seguridad conocidas para la propagaci\u00f3n, lo que sugiere que el software sin parches corre el riesgo de ser atacado por malware de botnet.<\/p>\n Dejando a un lado las agresivas t\u00e1cticas de monetizaci\u00f3n, Condi tiene como objetivo atrapar los dispositivos para crear una poderosa botnet DDoS que otros actores pueden alquilar para orquestar ataques de inundaci\u00f3n TCP y UDP en sitios web y servicios.<\/p>\n “Las campa\u00f1as de malware, especialmente las botnets, siempre buscan formas de expandirse”, dijeron los investigadores. “La explotaci\u00f3n de vulnerabilidades recientemente descubiertas (o publicadas) siempre ha sido uno de sus m\u00e9todos favoritos”.<\/p>\n \ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n \u00danase a la sesi\u00f3n<\/a><\/div>\n El desarrollo se produce cuando el AhnLab Security Emergency Response Center (ASEC) revel\u00f3 que los servidores Linux mal administrados est\u00e1n siendo violados para entregar bots DDoS como ShellBot y Tsunami (tambi\u00e9n conocido como Kaiten), as\u00ed como para abusar sigilosamente de los recursos para la miner\u00eda de criptomonedas.<\/p>\n “El c\u00f3digo fuente de Tsunami est\u00e1 disponible p\u00fablicamente, por lo que es utilizado por una multitud de actores de amenazas”, ASEC dicho<\/a>. “Entre sus diversos usos, se usa principalmente en ataques contra dispositivos IoT. Por supuesto, tambi\u00e9n se usa constantemente para atacar servidores Linux”.<\/p>\n Las cadenas de ataque implican comprometer los servidores utilizando un Ataque de diccionario<\/a> para ejecutar un script de shell malicioso capaz de descargar malware de pr\u00f3xima etapa y mantener un acceso de puerta trasera persistente agregando una clave p\u00fablica al archivo .ssh\/authorized_keys.<\/p>\n El malware de botnet Tsunami utilizado en el ataque es una nueva variante llamada Ziggy que comparte superposiciones significativas con el c\u00f3digo fuente original. Adem\u00e1s, emplea el chat de retransmisi\u00f3n de Internet (IRC<\/a>) para mando y control (C2).<\/p>\n Tambi\u00e9n se utiliza durante las intrusiones un conjunto de herramientas auxiliares para escalar privilegios y alterar o borrar archivos de registro para ocultar el rastro y dificultar el an\u00e1lisis.<\/p>\n “Los administradores deben usar contrase\u00f1as que sean dif\u00edciles de adivinar para sus cuentas y cambiarlas peri\u00f3dicamente para proteger el servidor Linux de ataques de fuerza bruta y ataques de diccionario y actualizar al \u00faltimo parche para evitar ataques de vulnerabilidad”, dijo ASEC.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Pandilla-china-PostalFurious-ataca-a-usuarios-de-EAU-con-esquema.png\")
<\/a><\/center><\/div>\n\n
![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1687343062_27_Nuevo-Condi-Malware-secuestrando-enrutadores-Wi-Fi-TP-Link-para-ataques-DDoS.jpg\" "\\"Malware")
<\/div>\n