No menos de 4.000 puertas traseras web únicas previamente implementadas por varios actores de amenazas han sido secuestradas tomando el control de infraestructura abandonada y vencida por tan solo $20 por dominio.
La empresa de ciberseguridad watchTowr Labs afirmó que llevó a cabo la operación registrando más de 40 nombres de dominio que las puertas traseras habían sido diseñadas para usar con fines de comando y control (C2). En asociación con la Fundación Shadowserver, se han realizado los ataques de saturación de los dominios implicados en la investigación.
«Hemos estado secuestrando puertas traseras (que dependían de infraestructura ahora abandonada y/o dominios expirados) que existían dentro de puertas traseras, y desde entonces hemos estado observando cómo llegan los resultados», dijeron el director ejecutivo de watchTowr Labs, Benjamin Harris, y la investigadora Aliz Hammond en un artículo técnico la semana pasada.
«Este secuestro nos permitió rastrear los hosts comprometidos a medida que ‘informaban’ y, teóricamente, nos dio el poder de tomar control de estos hosts comprometidos».
Entre los objetivos comprometidos identificados mediante la actividad de balizamiento se incluían entidades gubernamentales de Bangladesh, China y Nigeria; e instituciones académicas en China, Corea del Sur y Tailandia, entre otros.
Las puertas traseras, que no son más que shells web diseñados para ofrecer acceso remoto persistente a redes de destino para su posterior explotación, varían en alcance y funcionalidad.
- Shells web simples que son capaces de ejecutar un comando proporcionado por un atacante por medio de un código PHP
- C99concha
- carcasa r57
- China Chopper , un shell web compartido de forma destacada por grupos de amenazas persistentes avanzadas (APT) relacionados con China
Tanto c99shell como r57shell son shells web con todas las funciones, con la capacidad de ejecutar código o comandos arbitrarios, realizar operaciones con archivos, implementar cargas útiles adicionales, atacar por fuerza bruta servidores FTP y eliminarse de hosts comprometidos.
WatchTowr Labs afirmó haber observado casos en los que los mantenedores de scripts abrieron puertas traseras en algunos de los shells web para filtrar las ubicaciones donde fueron implementados, entregando así inadvertidamente las riendas a otros actores de amenazas también.
El desarrollo llega un par de meses después de que la compañía revelara que gastó apenas 20 dólares para adquirir un dominio de servidor WHOIS heredado («whois.dotmobiregistry[.]net») asociado con el dominio de nivel superior (TLD) .mobi, identificando más de 135.000 sistemas únicos que todavía se comunicaban con el servidor incluso después de haber migrado a «whois.nic[.]mobi».
«Resulta alentador ver que los atacantes cometen los mismos errores que los defensores», afirma watchTowr Labs. «Es fácil caer en la idea de que los atacantes nunca cometen errores, pero hemos visto pruebas de lo contrario: cajas con shells web abiertos, dominios caducados y el uso de software con puertas traseras abiertas».
Fuente y redacción: thehackernews.com
