Se descubrió que una botnet naciente llamada Andoryu explota una falla de seguridad crítica ahora parchada en el panel de administración inalámbrica de Ruckus para acceder a dispositivos vulnerables.
La falla , rastreada como CVE-2023-25717 (puntaje CVSS: 9.8), se deriva del manejo inadecuado de las solicitudes HTTP, lo que lleva a la ejecución remota de código no autenticado y un compromiso total del equipo de punto de acceso (AP) inalámbrico.
Andoryu fue documentado por primera vez por la firma china de ciberseguridad QiAnXin a principios de febrero, detallando su capacidad para comunicarse con servidores de comando y control (C2) utilizando el protocolo SOCKS5.
Si bien se sabe que el malware arma fallas de ejecución remota de código en GitLab ( CVE-2021-22205 ) y Lilin DVR para su propagación, la adición de CVE-2023-25717 muestra que Andoryu está expandiendo activamente su arsenal de exploits para atrapar más dispositivos en la red de bots. .
«Contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor de comando y control mediante proxies SOCKS5», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs , y agregó que la última campaña comenzó a fines de abril de 2023.
Un análisis más detallado de la cadena de ataque ha revelado que una vez que se utiliza la falla de Ruckus para obtener acceso a un dispositivo, se coloca una secuencia de comandos de un servidor remoto en el dispositivo infectado para su proliferación.
El malware, por su parte, también establece contacto con un servidor C2 y espera instrucciones adicionales para lanzar un ataque DDoS contra objetivos de interés utilizando protocolos como ICMP, TCP y UDP.
El costo asociado con el montaje de tales ataques se anuncia a través de una lista en el canal Telegram del vendedor, con planes mensuales que van desde $ 90 a $ 115 según la duración.
RapperBot Botnet agrega Crypto Mining a su lista de capacidades
La alerta sigue al descubrimiento de nuevas versiones de la red de bots RapperBot DDoS que incorporan la funcionalidad de cryptojacking para beneficiarse de los sistemas Intel x64 comprometidos al eliminar un criptominero Monero.
Las campañas de RapperBot se han centrado principalmente en dispositivos IoT de fuerza bruta con credenciales SSH o Telnet débiles o predeterminadas para expandir la huella de la botnet para lanzar ataques DDoS.
Fortinet dijo que detectó la última iteración de la actividad del minero RapperBot en enero de 2023, y los ataques entregaron un script de shell Bash que, a su vez, es capaz de descargar y ejecutar mineros criptográficos XMRig separados y binarios RapperBot.
Las actualizaciones posteriores del malware fusionaron las dos funciones dispares en un solo cliente bot con capacidades de minería, al tiempo que tomaron medidas para terminar los procesos mineros de la competencia.
Curiosamente, ninguna de las nuevas muestras de RapperBot con el minero XMRig integrado incorpora capacidades de autopropagación, lo que plantea la posibilidad de un mecanismo de distribución alternativo.
«Esto sugiere la posible disponibilidad de un cargador externo operado por el actor de amenazas que abusa de las credenciales recopiladas por otras muestras de RapperBot con capacidades de fuerza bruta e infecta solo máquinas x64 con el bot/minero combinado», teorizó Fortinet .
La expansión de RapperBot al cryptojacking es otra indicación de que los operadores de amenazas motivados financieramente no dejan piedra sin remover para «extraer el máximo valor de las máquinas infectadas por sus botnets».
Los desarrollos gemelos también se producen cuando el Departamento de Justicia de los EE. UU . Anunció la incautación de 13 dominios de Internet asociados con los servicios DDoS de alquiler.
Fuente y redacción: thehackernews.com
