Se ha encontrado una nueva variante de la notoria botnet Mirai que aprovecha varias vulnerabilidades de seguridad para propagarse a dispositivos Linux e IoT.
Observada durante la segunda mitad de 2022, la nueva versión ha sido denominada V3G4 por Palo Alto Networks Unit 42, que identificó tres campañas diferentes probablemente realizadas por el mismo actor de amenazas.
“Una vez que los dispositivos vulnerables se vean comprometidos, serán totalmente controlados por los atacantes y se convertirán en parte de la botnet”, dijeron los investigadores de la Unidad 42. “El actor de amenazas tiene la capacidad de utilizar esos dispositivos para realizar más ataques, como ataques distribuidos de denegación de servicio (DDoS)”.
Los ataques destacan principalmente servidores expuestos y dispositivos de red que ejecutan Linux, con el adversario armando hasta 13 fallas que podrían conducir a la ejecución remota de código (RCE).
Algunos de los defectos notables se relacionan con fallos críticos en el servidor y centro de datos Atlassian Confluence, los enrutadores DrayTek Vigor, Airspan AirSpot y las cámaras IP Geutebruck, entre otros. La falla más antigua de la lista es CVE-2012-4869, un error de RCE en FreePBX.
Después de un compromiso exitoso, la carga útil de la botnet se recupera de un servidor remoto utilizando las utilidades wget y cURL.
La botnet, además de verificar si ya se está ejecutando en la máquina infectada, también toma medidas para terminar con otras botnets competidoras como Mozi, Okami y Yakuza.
V3G4 incluye además un conjunto de credenciales de inicio de sesión predeterminadas o débiles que utiliza para llevar a cabo ataques de fuerza bruta a través de Telnet / SSH y proliferar a otras máquinas.
También establece contacto con un servidor de comando y control para esperar comandos para lanzar ataques DDoS contra objetivos a través de protocolos UDP, TCP y HTTP.
“Las vulnerabilidades mencionadas anteriormente tienen menos complejidad de ataque que las variantes observadas anteriormente, pero mantienen un impacto crítico de seguridad que puede conducir a la ejecución remota de código”, dijeron los investigadores.
Para evitar tales ataques, se recomienda que los usuarios apliquen los parches y actualizaciones necesarios a medida que sean aplicables, y que protejan los dispositivos con contraseñas seguras.
