Investigadores del equipo de seguridad Netlab de Qihoo 360 han publicado detalles de una nueva botnet en evolución llamada » Abcbot » que se ha observado en la naturaleza con funciones de propagación similares a gusanos para infectar sistemas Linux y lanzar ataques distribuidos de denegación de servicio (DDoS) contra objetivos. .
Si bien la primera versión de la botnet se remonta a julio de 2021, las nuevas variantes observadas tan recientemente como el 30 de octubre han sido equipadas con actualizaciones adicionales para atacar servidores web Linux con contraseñas débiles y son susceptibles a vulnerabilidades de N días, incluida una implementación personalizada de DDoS. funcionalidad, lo que indica que el malware está en continuo desarrollo.
Los hallazgos de Netlab también se basan en un informe de Trend Micro a principios del mes pasado, que publicitó los ataques dirigidos a Huawei Cloud con malware de minería de criptomonedas y cryptojacking. Las intrusiones también fueron notables por el hecho de que los scripts de shell maliciosos deshabilitaron específicamente un proceso diseñado para monitorear y escanear los servidores en busca de problemas de seguridad, así como restablecer las contraseñas de los usuarios al servicio de nube elástica.
Investigadores del equipo de seguridad Netlab de Qihoo 360 han publicado detalles de una nueva botnet en evolución llamada » Abcbot » que se ha observado en la naturaleza con funciones de propagación similares a gusanos para infectar sistemas Linux y lanzar ataques distribuidos de denegación de servicio (DDoS) contra objetivos. .
Si bien la primera versión de la botnet se remonta a julio de 2021, las nuevas variantes observadas tan recientemente como el 30 de octubre han sido equipadas con actualizaciones adicionales para atacar servidores web Linux con contraseñas débiles y son susceptibles a vulnerabilidades de N días, incluida una implementación personalizada de DDoS. funcionalidad, lo que indica que el malware está en continuo desarrollo.
Los hallazgos de Netlab también se basan en un informe de Trend Micro a principios del mes pasado, que publicitó los ataques dirigidos a Huawei Cloud con malware de minería de criptomonedas y cryptojacking. Las intrusiones también fueron notables por el hecho de que los scripts de shell maliciosos deshabilitaron específicamente un proceso diseñado para monitorear y escanear los servidores en busca de problemas de seguridad, así como restablecer las contraseñas de los usuarios al servicio de nube elástica.
Ahora, según la empresa china de seguridad en Internet, estos scripts de shell se están utilizando para difundir Abcbot. Hasta la fecha, se han observado un total de seis versiones de la botnet.
Una vez instalado en un host comprometido, el malware desencadena la ejecución de una serie de pasos que dan como resultado que el dispositivo infectado se reutilice como servidor web, además de informar la información del sistema a un servidor de comando y control (C2), propagándose el malware a nuevos dispositivos mediante la búsqueda de puertos abiertos y la actualización automática a medida que sus operadores ponen a disposición nuevas funciones.
«Lo interesante es que la muestra [actualizada] el 21 de octubre utiliza el ATK Rootkit de código abierto para implementar la función DDoS», un mecanismo que, según los investigadores, «requiere que Abcbot descargue el código fuente, compile y cargue el módulo rootkit antes realizando [un] ataque DDoS «.
«Este proceso requiere demasiados pasos, y cualquier paso que sea defectuoso dará como resultado la falla de la función DDoS», señalaron los investigadores, lo que llevó al adversario a reemplazar el componente estándar con un módulo de ataque personalizado en una versión posterior. lanzado el 30 de octubre que abandona por completo el rootkit ATK.
Los hallazgos se producen poco más de una semana después de que el equipo de seguridad de Netlab revelara los detalles de una botnet » rosa » que se cree que infectó a más de 1,6 millones de dispositivos ubicados principalmente en China con el objetivo de lanzar ataques DDoS e insertar anuncios en sitios web HTTP visitados por desprevenidos. usuarios. En un desarrollo relacionado, AT&T Alien Labs eliminó un nuevo malware de Golang denominado » BotenaGo » que se ha descubierto utilizando más de treinta exploits para atacar potencialmente millones de enrutadores y dispositivos de IoT.
«El proceso de actualización en estos seis meses no es tanto una actualización continua de funciones como una compensación entre diferentes tecnologías», concluyeron los investigadores. «Abcbot está pasando lentamente de la infancia a la madurez. No consideramos que esta etapa sea la forma final, obviamente hay muchas áreas de mejora o características por desarrollar en esta etapa».
