Los investigadores de seguridad han descubierto otra variante de Mirai que apunta a nuevas vulnerabilidades en Internet de las cosas (IoT).
De acuerdo a una entrada en el blog Según los investigadores del equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks, los ataques se observaron por primera vez a mediados de febrero. Se actualizó una dirección IP involucrada en el ataque para servir una variante de palanca Mirai CVE-2021-27561 y CVE-2021-27562, pocas horas después de que se publicaran los detalles de la vulnerabilidad.
A principios de este mes, se proporcionaron las mismas muestras desde una tercera dirección IP, con la adición de una explotación CVE-2021-22502. Al final de la semana pasada, una operación de segmentación CVE-2020-26919 también se incorporó a las muestras.
Los investigadores dijeron que los ataques utilizan otras tres vulnerabilidades de IoT que aún no se han identificado. Estos incluyen dos vulnerabilidades en la ejecución de comandos remotos contra objetivos desconocidos y una vulnerabilidad utilizada por Moobot en el pasado.
En todos los ataques, los piratas informáticos utilizan la utilidad wget para descargar un script de shell de la infraestructura de malware. El script de shell luego descarga varios binarios de Mirai compilados para diferentes arquitecturas y ejecuta estos binarios descargados uno por uno.
Además de descargar Mirai, se descubrieron otros scripts de shell maliciosos.
«Los ataques aún están en curso al momento de escribir este artículo. Después de una operación exitosa, los atacantes intentan descargar un script de shell malicioso, que contiene otros comportamientos infecciosos, como descargar y ejecutar variantes de Mirai y fuerzas brutas «, dijo Palo Alto Networks.
Después de un ataque exitoso, los piratas informáticos descargaron otros binarios para programar el trabajo, establecer reglas de filtrado y ejecutarlos. ataques de fuerza brutao propagar malware.
Estos incluyen lolol.sh, que descarga los binarios «oscuros» y programa un trabajo que se ejecutaría cada hora para reanudar el script lolol.sh.
«Sin embargo, la configuración de cron es incorrecta. Esto habría sido un intento de asegurar que el proceso se relanza si colapsa o muere por alguna otra razón «, dijeron los investigadores.
Install.sh descarga GoLang v1.9.4 en el sistema de destino y lo agrega a la ruta del sistema. También descarga binarios «nbrute» y un archivo «combo.txt». Nbrute.[arch] sirve principalmente para forzar a la fuerza las distintas credenciales que se encuentran en «combo.txt» al iniciar una conexión SSH con una determinada IP.
Combo.txt es un archivo de texto simple que contiene muchas combinaciones de credenciales (a menudo credenciales predeterminadas en los dispositivos). Oscuridad.[arch] es un binario basado en el código base de Mirai y sirve principalmente para el propósito de propagación o conexiones SSH de fuerza bruta utilizando algunas credenciales codificadas en binario.
«El ámbito de IoT sigue siendo un objetivo de fácil acceso para los atacantes. Muchas vulnerabilidades son muy fáciles de explotar y podrían, en algunos casos, tener consecuencias catastróficas», agregaron los investigadores.