Clicky

La botnet Wormable Gitpaste-12 regresa a los servidores Linux de destino y dispositivos IoT

Bonet Gitpaste-12

La infección inicial ocurre a través de X10-unix

Una nueva botnet con gusanos que se propaga a través de GitHub y Pastebin para instalar mineros de criptomonedas y puertas traseras en los sistemas de destino ha regresado con capacidades ampliadas para comprometer aplicaciones web, cámaras IP y enrutadores.

A principios del mes pasado, los investigadores de Juniper Threat Labs documentaron una campaña de minería criptográfica llamada "Gitpaste-12", que utilizaba GitHub para alojar código malicioso que contenía hasta 12 módulos de ataque conocidos que se ejecutan mediante comandos descargados desde una URL de Pastebin.

Los ataques ocurrieron durante un período de 12 días a partir del 15 de octubre de 2020, antes de que tanto la URL de Pastebin como el repositorio se cerraran el 30 de octubre de 2020.

Ahora, según Juniper, la segunda ola de ataques comenzó el 10 de noviembre utilizando cargas útiles de un repositorio de GitHub diferente que, entre otros, contiene un criptominero de Linux ("ls"), un archivo con una lista de contraseñas para fuerza bruta. intentos ("pasar") y un exploit de escalada de privilegios local para sistemas Linux x86_64.

La infección inicial ocurre a través de X10-unix, un binario escrito en el lenguaje de programación Go, que procede a descargar las cargas útiles de la siguiente etapa desde GitHub.

"El gusano lleva a cabo una amplia serie de ataques dirigidos a aplicaciones web, cámaras IP, enrutadores y más, que comprenden al menos 31 vulnerabilidades conocidas, siete de las cuales también se observaron en la muestra anterior de Gitpaste-12, así como intentos de comprometer la apertura Conexiones de Android Debug Bridge y puertas traseras de malware existentes ", señaló el investigador de Juniper, Asher Langton, en un análisis del lunes.

Gitpaste 12 infección

En la lista de 31 vulnerabilidades se incluyen fallas de código remoto en la interfaz de usuario de administración de tráfico F5 BIG-IP (CVE-2020-5902), Pi-hole Web (CVE-2020-8816), Tenda AC15 AC1900 (CVE-2020-10987) , y vBulletin (CVE-2020-17496), y un error de inyección SQL en FUEL CMS (CVE-2020-17463), todo lo cual salió a la luz este año.

Vale la pena señalar que Ttint, una nueva variante de la botnet Mirai, se observó en octubre utilizando dos vulnerabilidades de día cero del enrutador Tenda, incluida CVE-2020-10987, para difundir un troyano de acceso remoto (RAT) capaz de llevar a cabo de ataques de denegación de servicio, ejecutar comandos maliciosos e implementar un shell inverso para acceso remoto.

Además de instalar en la máquina X10-unix y el software de minería criptográfica Monero, el malware también abre una puerta trasera que escucha en los puertos 30004 y 30006, carga la dirección IP externa de la víctima en una pasta Pastebin privada e intenta conectarse a las conexiones de Android Debug Bridge en el puerto 5555.

En una conexión exitosa, procede a descargar un archivo APK de Android ("weixin.apk") que finalmente instala una versión ARM CPU de X10-unix.

En total, se han detectado al menos 100 huéspedes distintos propagando la infección, según estimaciones de Juniper.

Aquí se puede acceder al conjunto completo de binarios maliciosos y otros indicadores de compromiso (IoC) relevantes asociados con la campaña.

Jesus_Caceres