 |
Nuevo malware llamado Condi aprovecha una vulnerabilidad de seguridad en los enrutadores Wi-Fi TP-Link Archer AX21 (AX1800) para convertir los dispositivos en una botnet de denegación de servicio distribuido (DDoS, por sus siglas en inglés). Fortinet FortiGuard Labs informó que la campaña se ha intensificado desde finales de mayo de 2023. Condi es obra de un actor de amenazas que utiliza el seudónimo en línea zxcr9999 en Telegram y dirige un canal de Telegram llamado Condi Network para promocionar sus programas ilegales. |
Un análisis del artefacto del malware revela su capacidad para terminar con otras botnets competidoras en el mismo host. Sin embargo, carece de un mecanismo de persistencia, lo que significa que el programa no puede sobrevivir a un reinicio del sistema.
Para superar esta limitación, el malware elimina varios binarios que se utilizan para apagar o reiniciar el sistema:
/usr/sbin/reboot /usr/bin/reboot /usr/sbin/shutdown /usr/bin/shutdown /usr/sbin/poweroff /usr/bin/poweroff /usr/sbin/halt /usr/bin/halt
A diferencia de algunas botnets que se propagan mediante ataques de fuerza bruta, Condi utiliza un módulo de exploración que busca dispositivos TP-Link Archer AX21 vulnerables y, de ser así, ejecuta un script de shell obtenido de un servidor remoto para depositar el malware.
Específicamente, el escáner identifica routers susceptibles a la vulnerabilidad CVE-2023-1389 (puntuación CVSS: 8.8), una falla de inyección de comandos que fue aprovechada previamente por la botnet Mirai.
Fortinet encontró otros ejemplos de Condi que explotaban varias vulnerabilidades conocidas para su propagación, lo que indica que el software sin parches corre el riesgo de ser atacado por malware de botnet.
Aparte de sus tácticas agresivas de monetización, Condi tiene como objetivo atrapar dispositivos para crear una poderosa botnet de DDoS que pueda ser alquilada por otros actores para orquestar ataques de inundación TCP y UDP en sitios web y servicios.
"Las campañas de malware, especialmente las botnets, siempre están buscando formas de expandirse", dijeron los investigadores. "La explotación de vulnerabilidades recién descubiertas (o publicadas) siempre ha sido uno de sus métodos preferidos".
Este desarrollo se produce cuando el Centro de Respuesta de Emergencia de Seguridad AhnLab (ASEC) reveló que los servidores Linux mal administrados están siendo comprometidos para distribuir bots de DDoS como ShellBot y Tsunami (también conocido como Kaiten), así como para abusar sigilosamente de los recursos con fines de minería de criptomonedas.
"El código fuente de Tsunami está disponible públicamente, por lo que es utilizado por múltiples actores de amenazas", dijo ASEC. "Entre sus diversos usos, se utiliza principalmente en ataques contra dispositivos de IoT. Por supuesto, también se utiliza de manera constante para atacar servidores Linux".
Las cadenas de ataque implican comprometer los servidores mediante un ataque de diccionario para ejecutar un script de shell malicioso capaz de descargar malware de siguiente etapa y mantener un acceso trasero persistente mediante la adición de una clave pública al archivo ".ssh/authorized_keys".
El malware de la botnet Tsunami utilizado en el ataque es una nueva variante llamada Ziggy que comparte similitudes significativas con el código fuente original. Además, utiliza el protocolo de chat en Internet (IRC) para el comando y control (C2).
También se utilizan durante las intrusiones un conjunto de herramientas auxiliares para la escalada de privilegios y la alteración o eliminación de archivos de registro para ocultar el rastro y dificultar el análisis.
"Los administradores deben utilizar contraseñas difíciles de adivinar para sus cuentas y cambiarlas periódicamente para proteger el servidor Linux de ataques de fuerza bruta y ataques de diccionario, y actualizar al último parche para prevenir ataques de vulnerabilidades", dijo ASEC.
Fuente: https://thehackernews.com/2023/06/new-condi-malware-hijacking-tp-link-wi.html