Notícias de dispositivos móveis, gadgets, aplicativos Android

Atacantes DDoS baseados em Mirai adotaram agressivamente novas explora√ß√Ķes de roteador

Em setembro de 2023, a equipe vigilante do FortiGuard Labs descobriu um desenvolvimento significativo na campanha DDoS baseada em IZ1H9 Mirai.

Esta campanha, conhecida pelas suas t√°cticas agressivas, refor√ßou o seu arsenal com um conjunto formid√°vel de treze explora√ß√Ķes, colocando potencialmente em perigo sistemas baseados em Linux em v√°rias organiza√ß√Ķes.

A campanha IZ1H9 ameaça uma ampla gama de usuários em qualquer organização que utilize sistemas baseados em Linux.

O seu impacto potencial é crítico, uma vez que atacantes remotos podem obter controlo total de sistemas vulneráveis, transformando-os efetivamente em bots sob o comando do atacante.

Documento

Surto de Exploração

Durante o observação da equipetornou-se evidente que a campanha IZ1H9 atingiu o seu apogeu de exploração em Setembro 62023.

A contagem de gatilhos aumentou para milhares e até dezenas de milhares, mostrando a capacidade alarmante da campanha de se infiltrar em dispositivos suscetíveis.

Essa r√°pida propaga√ß√£o foi alcan√ßada atrav√©s da utiliza√ß√£o de c√≥digo de explora√ß√£o rec√©m-lan√ßado, cobrindo in√ļmeras vulnerabilidades e exposi√ß√Ķes comuns (CVEs).

Explorar cargas √ļteis

A gama de cargas de exploração da campanha é diversificada, visando diversas vulnerabilidades.

Notavelmente, quatro cargas √ļteis, CVE-2015-1187, CVE-2016-20017, CVE-2020-25506e CVE-2021-45382concentre-se nas vulnerabilidades do D-Link, permitindo que invasores remotos executem comandos por meio de solicita√ß√Ķes elaboradas.

Adicionalmente, CVE-2019-19356 tem como alvo o Netis WF2419, explorando uma vulnerabilidade de execução remota de código (RCE) por meio da ferramenta de diagnóstico tracert devido à limpeza insuficiente de entrada do usuário.

As explora√ß√Ķes descobertas em 2021 tamb√©m desempenham um papel fundamental nesta campanha, afetando produtos como Sunhillo SureLine, c√Ęmeras IP Geutebruck e Yealink Device Management.

Outras vulnerabilidades em dispositivos Zyxel, TP-Link Archer, Korenix JetWave e roteadores TOTOLINK s√£o aproveitadas para expandir o alcance da campanha.

N√≥s recomendamos:  Hackers usando a variante Mirai MooBot para explorar bugs de dispositivos D-Link

Downloader de scripts de shell

A carga injetada visa baixar um script de shell chamado ‚Äúl.sh‚ÄĚ de uma URL espec√≠fica.

Uma vez executado, esse script oculta suas a√ß√Ķes excluindo logs e, posteriormente, baixando e executando v√°rios clientes bot adaptados para diferentes arquiteturas Linux.

Conclui obstruindo conex√Ķes de rede em m√ļltiplas portas, modificando as regras de iptables do dispositivo.

An√°lise de malware ‚Äď IZ1H9

O IZ1H9, classificado como uma variante do Mirai, é especializado em infectar dispositivos de rede baseados em Linux, especialmente dispositivos IoT.

Ele os transforma em bots controlados remotamente, prontos para ataques de rede em larga escala. A chave XOR usada para decodificação da configuração é revelada como 0xBAADF00D.

As vítimas iniciam a comunicação com um servidor C2 e, ao receberem comandos, os dispositivos comprometidos analisam o pacote para determinar o método de ataque DDoS, o host alvo e a contagem de pacotes antes de lançar um ataque.

Esta campanha destaca o risco persistente representado por dispositivos IoT vulner√°veis ‚Äč‚Äče servidores Linux a ataques de execu√ß√£o remota de c√≥digo.

Apesar da disponibilidade de patches, o n√ļmero de gatilhos de explora√ß√£o permanece alarmantemente elevado, expondo os sistemas a amea√ßas potenciais.

A rápida adaptação da Campanha IZ1H9 a novas vulnerabilidades é motivo de preocupação. Assim que os invasores obtiverem o controle de um dispositivo vulnerável, eles poderão integrá-lo à sua botnet, ampliando sua capacidade de ataques, incluindo DDoS e ataques de força bruta.

As organiza√ß√Ķes s√£o incentivadas a aplicar patches imediatamente e alterar as credenciais de login padr√£o dos dispositivos para mitigar essa amea√ßa de forma eficaz.

Table of Contents