Más de 4,000 Backdoors secuestrados al registrar dominios expirados

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de que investigadores registraron dominios expirados utilizados para controlarlos.

Amenazas en servidores de alto perfil

Parte del malware activo (shells web) estaba desplegado en servidores web de objetivos de alto perfil, incluidos sistemas gubernamentales y universitarios, listos para ejecutar comandos de cualquiera que tomara el control de los dominios de comunicación.

Investigadores especializados evitaron que estos dominios y las víctimas correspondientes cayeran en manos de actores maliciosos.

Descubrimiento de miles de sistemas comprometidos

Los Backdoors son herramientas o códigos maliciosos insertados en sistemas comprometidos para permitir el acceso remoto no autorizado y el control de dichos sistemas. Los actores de amenazas los utilizan para mantener acceso persistente y ejecutar comandos que amplían el ataque.

Los investigadores buscaron dominios en varios Backdoors web y compraron aquellos que habían expirado, tomando esencialmente el control de estos Backdoors. Tras configurar un sistema de registro de actividades, el malware abandonado pero activo comenzó a enviar solicitudes, lo que permitió a los investigadores identificar al menos a algunas de las víctimas.

De los más de 40 dominios registrados, los investigadores recibieron comunicaciones de más de 4,000 sistemas comprometidos intentando “contactar a casa”.

Tipos de Backdoors identificados

Entre los hallazgos se encontraron varios tipos de Backdoors, incluidos:

  • r57shell: Una versión clásica de shell web.
  • c99shell: Más avanzado, con capacidades de gestión de archivos y ataques de fuerza bruta.
  • China Chopper: Un shell web frecuentemente asociado con grupos de amenazas persistentes avanzadas (APT).

El informe también menciona un Backdoor con comportamientos asociados al Grupo Lazarus, aunque posteriormente se aclaró que probablemente se trató de un caso de reutilización de herramientas del grupo por parte de otros actores.

Sistemas comprometidos identificados

Los investigadores encontraron una variedad de sistemas comprometidos, incluidos:

  • Infraestructura gubernamental de China, incluidas cortes judiciales.
  • El sistema judicial del gobierno de Nigeria.
  • Redes gubernamentales en Bangladés.
  • Instituciones educativas en Tailandia, China y Corea del Sur.
Prevención de futuros abusos

Se transfirió la responsabilidad de gestionar los dominios secuestrados a otra organización especializada para garantizar que no puedan ser tomados nuevamente. Actualmente, se está redirigiendo todo el tráfico enviado desde los sistemas comprometidos a dominios controlados de forma segura.

Conclusión

La investigación demuestra cómo los dominios expirados de operaciones de malware podrían seguir siendo utilizados por ciberdelincuentes, quienes también heredarían algunas víctimas simplemente al registrar los dominios de control. Este hallazgo subraya la importancia de la vigilancia continua y la gestión adecuada de activos digitales para evitar su abuso.

 

Related Posts
Clear Filters

Google ha lanzado una nueva actualización para Chrome en su versión de escritorio, abordando varias vulnerabilidades de seguridad que podrían…

Palo Alto Networks ha publicado una serie de alertas de seguridad que revelan múltiples vulnerabilidades. Entre ellas, destacan dos fallos…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.