Una nueva botnet compuesta por firewalls y enrutadores de Cisco, DrayTek, Fortinet y NETGEAR se está utilizando como una red encubierta de transferencia de datos para actores de amenazas persistentes avanzadas, incluido el actor de amenazas vinculado a China llamado <. a i=1>Tifón de voltios.
Apodada KV-botnet por el equipo de Black Lotus Labs en Lumen Technologies, la red maliciosa es una fusión de dos grupos de actividades complementarias que tienen estado activo desde al menos febrero de 2022.
«La campaña infecta dispositivos en el borde de las redes, un segmento que ha surgido como un punto débil en la estrategia defensiva de muchas empresas, agravado por el cambio hacia el trabajo remoto en los últimos años», dijo. la empresa dijo
Se dice que los dos grupos, con nombres en código KY y JDY, son distintos pero trabajan en conjunto para facilitar el acceso a víctimas de alto perfil, así como para establecer una infraestructura encubierta. Los datos de telemetría sugieren que la botnet está controlada desde direcciones IP con sede en China.
Mientras que los bots de JDY se dedican a un escaneo más amplio utilizando técnicas menos sofisticadas, se considera que el componente KY, que presenta productos en gran medida obsoletos y al final de su vida útil, está reservado para operaciones manuales contra objetivos de alto perfil seleccionados por el primero.
Se sospecha que Volt Typhoon es al menos un usuario de la botnet KV y abarca un subconjunto de su infraestructura operativa, lo que se evidencia por la notable disminución de las operaciones en junio y principios de julio de 2023, coincidiendo con la divulgación pública. del ataque colectivo adversario a infraestructuras críticas en Estados Unidos.
Microsoft, que expuso por primera vez las tácticas del actor de amenazas, dijo que «intenta integrarse en la actividad normal de la red enrutando tráfico a través de equipos de red comprometidos para pequeñas oficinas y oficinas domésticas (SOHO), incluidos enrutadores, firewalls y hardware VPN.»
Actualmente se desconoce el proceso exacto del mecanismo de infección inicial utilizado para vulnerar los dispositivos. Le sigue la primera etapa del malware, que toma medidas para eliminar programas de seguridad y otras cepas de malware para garantizar que sea la «única presencia» en el sistema. en estas máquinas.
También está diseñado para recuperar la carga útil principal de un servidor remoto, que, además de conectarse al mismo servidor, también es capaz de cargar y descargar archivos, ejecutar comandos y ejecutar módulos adicionales.
Durante el mes pasado, la infraestructura de la botnet recibió un lavado de cara, apuntando a las cámaras IP de Axis, lo que indica que los operadores podrían estar preparándose para una nueva ola de ataques.
«Uno de los aspectos bastante interesantes de esta campaña es que todas las herramientas parecen residir completamente en la memoria», afirma. dijeron los investigadores. «Esto hace que la detección sea extremadamente difícil, a costa de la persistencia a largo plazo».
«Como el malware reside completamente en la memoria, simplemente apagando y apagando el dispositivo, el usuario final puede detener la infección». Si bien eso elimina la amenaza inminente, la reinfección ocurre regularmente”.
Fuente y redacción: thehackernews.com
