La botnet Gitpaste-12 regresa apuntando a servidores Linux y dispositivos IoT - Masterhacks Blog

La botnet Gitpaste-12 regresa apuntando a servidores Linux y dispositivos IoT

Una nueva botnet con gusanos que se propaga a través de GitHub y Pastebin para instalar mineros de criptomonedas y puertas traseras en sistemas de destino, ha regresado con capacidades ampliadas para comprometer aplicaciones web, cámaras IP y enrutadores.

A inicios del mes pasado, los investigadores de Juniper Threat Labs, documentaron una campaña de minería de cifrado denominada Gitpaste-12, que utilizaba GitHub para alojar código malicioso que contenía hasta 12 módulos de ataque conocidos que se ejecutan mediante comandos descargados de una URL de Pastebin.

Los ataques ocurrieron durante un período de 12 días a partir del 15 de octubre de 2020, antes de que tanto la URL de Pastebin como el repositorio se cerraran el 30 de octubre de 2020.

Ahora, según Juniper, la segunda ola de ataques comenzó el 10 de noviembre, utilizando cargas útiles de un repositorio de GitHub diferente, que entre otros, contiene un cripto minero de Linux («Is»), un archivo con una lista de contraseñas para fuerza bruta y un exploit de escalamiento de privilegios local para sistemas Linux x86_64.

La infección inicial ocurre a través de X10-unix, un binario escrito en el lenguaje de programación Go, que procede a descargar las cargas útiles de la siguiente etapa desde GitHub.

«El gusano lleva a cabo una amplia serie de ataques dirigidos a aplicaciones web, cámaras IP, enrutadores y más, que comprenden al menos 31 vulnerabilidades conocidas, siete de las cuales también se observaron en la muestra anterior de Gitpaste-12, así como intentos de comprometer la apertura Android Debuge Bridge Connections y backdoors de malware existentes», dijo el investigador de Juniper, Asher Langton.

En la lista de 31 vulnerabilidades, se incluyen fallas de código remoto en la interfaz de usuario de administración de tráfico F5 BIG-IP (CVE-2020-5902), Pi-hole (CVE-2020-8816), Tenda AC15 AC1900 (CVE-2020-10987) y vBulletin (CVE-2020-17496), además de un error de inyección SQL en FUEL CMS (CVE-2020-17463), todos los cuales, salieron a la luz este año.

Cabe mencionar que Ttint, una nueva variante de la botnet Mirai, se observó en octubre utilizando dos vulnerabilidades de día cero del enrutador Tenda, incluida CVE-2020-10987, para propagar un troyano de acceso remoto capaz de llevar a cabo ataques de denegación de servicio, ejecutar comandos maliciosos e implementar un shell inverso para acceso remoto.

Además de instalar X10-unix y el software de minería de Monero en la máquina, el malware también abre una puerta trasera que escucha en los puertos 30004 y 30005, carga la dirección IP externa de la víctima en un Pastebin privado e intenta conectarse a las conexiones de Android Debug Bridge en el puerto 5555.

En una conexión exitosa, se descarga un archivo APK de Android («weixin.apk»), que finalmente instala una versión ARM CPU de X10-unix.

Hasta ahora, se han detectado al menos 100 huéspedes distintos propagando la infección, según las estimaciones de los investigadores.

Se puede encontrar aquí el conjunto completo de binarios maliciosos y otros indicadores de compromiso (IoC) relevantes asociados con la campaña, para fines de investigación.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *