Se ha observado un nuevo malware llamado Condi que explota una vulnerabilidad de seguridad en los enrutadores Wi-Fi TP-Link Archer AX21 (AX1800) para conectar los dispositivos a una red de bots de denegación de servicio distribuida (DDoS).
Fortinet FortiGuard Labs dijo que la campaña se ha intensificado desde fines de mayo de 2023. Condi es el trabajo de un actor de amenazas que usa el alias en línea zxcr9999 en Telegram y administra un canal de Telegram llamado Condi Network para publicitar su warez.
«El canal de Telegram se inició en mayo de 2022, y el actor de amenazas ha estado monetizando su botnet proporcionando DDoS como servicio y vendiendo el código fuente del malware», dijeron los investigadores de seguridad Joie Salvio y Roy Tay.
Un análisis del artefacto de malware revela su capacidad para acabar con otras botnets de la competencia en el mismo host. Sin embargo, carece de un mecanismo de persistencia, lo que significa que el programa no puede sobrevivir a un reinicio del sistema.
Para sortear esta limitación, el malware elimina varios archivos binarios que se utilizan para apagar o reiniciar el sistema:
- /usr/sbin/reiniciar
- /usr/bin/reiniciar
- /usr/sbin/apagado
- /usr/bin/apagado
- /usr/sbin/apagar
- /usr/bin/apagar
- /usr/sbin/detener
- /usr/bin/detener
Condi, a diferencia de algunas botnets que se propagan mediante ataques de fuerza bruta, aprovecha un módulo de escaneo que busca dispositivos TP-Link Archer AX21 vulnerables y, si es así, ejecuta un script de shell recuperado de un servidor remoto para depositar el malware.
Específicamente, el escáner identifica enrutadores susceptibles a CVE-2023-1389 (puntaje CVSS: 8.8), un error de inyección de comandos que fue explotado previamente por la red de bots Mirai.
Fortinet dijo que encontró otras muestras de Condi que explotaban varias fallas de seguridad conocidas para la propagación, lo que sugiere que el software sin parches corre el riesgo de ser atacado por malware de botnet.
Dejando a un lado las agresivas tácticas de monetización, Condi tiene como objetivo atrapar los dispositivos para crear una poderosa botnet DDoS que otros actores pueden alquilar para orquestar ataques de inundación TCP y UDP en sitios web y servicios.
«Las campañas de malware, especialmente las botnets, siempre buscan formas de expandirse», dijeron los investigadores. «La explotación de vulnerabilidades recientemente descubiertas (o publicadas) siempre ha sido uno de sus métodos favoritos».
El desarrollo se produce cuando el AhnLab Security Emergency Response Center (ASEC) reveló que los servidores Linux mal administrados están siendo violados para entregar bots DDoS como ShellBot y Tsunami (también conocido como Kaiten), así como para abusar sigilosamente de los recursos para la minería de criptomonedas.
«El código fuente de Tsunami está disponible públicamente, por lo que es utilizado por una multitud de actores de amenazas», dijo ASEC . «Entre sus diversos usos, se usa principalmente en ataques contra dispositivos IoT. Por supuesto, también se usa constantemente para atacar servidores Linux».
Las cadenas de ataque implican comprometer los servidores mediante un ataque de diccionario para ejecutar un script de shell malicioso capaz de descargar malware de próxima etapa y mantener un acceso de puerta trasera persistente al agregar una clave pública al archivo .ssh/authorized_keys .
El malware de botnet Tsunami utilizado en el ataque es una nueva variante llamada Ziggy que comparte superposiciones significativas con el código fuente original. Además, emplea el chat de retransmisión de Internet ( IRC ) para comando y control (C2).
También se utiliza durante las intrusiones un conjunto de herramientas auxiliares para escalar privilegios y alterar o borrar archivos de registro para ocultar el rastro y dificultar el análisis.
«Los administradores deben usar contraseñas que sean difíciles de adivinar para sus cuentas y cambiarlas periódicamente para proteger el servidor Linux de ataques de fuerza bruta y ataques de diccionario y actualizar al último parche para evitar ataques de vulnerabilidad», dijo ASEC.
Fuente y redacción: thehackernews.com
