Botnet Wormable Gitpaste-12 regresa a servidores Linux de destino, dispositivos IoT

Malware de red de bots de Linux

Una nueva red de bots con gusanos que se propaga a través de GitHub y Pastebin para instalar mineros de criptomonedas y puertas traseras en los sistemas de destino ha regresado con capacidades ampliadas para comprometer aplicaciones web, cámaras IP y enrutadores.

A principios del mes pasado, los investigadores de Juniper Threat Labs documentaron una campaña de criptominería llamada «Gitpaste-12», que utilizó GitHub para alojar código malicioso que contenía hasta 12 módulos de ataque conocidos que se ejecutan a través de comandos descargados de una URL de Pastebin.

Los ataques ocurrieron durante un período de 12 días a partir del 15 de octubre de 2020, antes de que tanto la URL como el repositorio de Pastebin se cerraran el 30 de octubre de 2020.

Ahora, según Juniper, la segunda ola de ataques comenzó el 10 de noviembre utilizando payloads de un repositorio diferente de GitHub que, entre otros, contiene un criptominero de Linux («ls»), un archivo con una lista de contraseñas para fuerza bruta. intentos («aprobado») y un exploit de escalada de privilegios local para sistemas Linux x86_64.

La infección inicial ocurre a través de X10-unix, un binario escrito en el lenguaje de programación Go, que procede a descargar las cargas útiles de la próxima etapa de GitHub.

«El gusano lleva a cabo una amplia serie de ataques dirigidos a aplicaciones web, cámaras IP, enrutadores y más, que comprenden al menos 31 vulnerabilidades conocidas, siete de las cuales también se observaron en la muestra anterior de Gitpaste-12, así como intentos de comprometer acceso abierto. Conexiones de puente de depuración de Android y puertas traseras de malware existentes «, señaló el investigador de Juniper, Asher Langton, en un análisis del lunes.

En la lista de 31 vulnerabilidades se incluyen fallas de código remoto en la interfaz de usuario de gestión de tráfico F5 BIG-IP (CVE-2020-5902), Pi-hole Web (CVE-2020-8816), Tenda AC15 AC1900 (CVE-2020-10987) y vBulletin (CVE-2020-17496), y un error de inyección SQL en FUEL CMS (CVE-2020-17463), todo lo cual salió a la luz este año.

Vale la pena señalar que Ttint, una nueva variante de la botnet Mirai, se observó en octubre usando dos vulnerabilidades de día cero del enrutador Tenda, incluido CVE-2020-10987, para propagar un troyano de acceso remoto (RAT) capaz de llevar a cabo la denegación de -Servir ataques, ejecutar comandos maliciosos e implementar un shell inverso para acceso remoto.

Además de instalar X10-unix y el software de criptominería Monero en la máquina, el malware también abre una puerta trasera que escucha en los puertos 30004 y 30006, carga la dirección IP externa de la víctima en un Pastebin privado e intenta conectarse a las conexiones de Android Debug Bridge. en el puerto 5555.

En una conexión exitosa, procede a descargar un archivo APK de Android («weixin.apk») que finalmente instala una versión de CPU ARM de X10-unix.

En total, se han detectado al menos 100 huéspedes distintos propagando la infección, según estimaciones de Juniper.

Se puede acceder al conjunto completo de binarios maliciosos y otros indicadores de compromiso (IoC) relevantes asociados con la campaña aquí.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática