Se ha descubierto (otra) variante de la botnet Mirai que explota una falla de seguridad recientemente descubierta que afecta a los routers industriales Four-Faith desde principios de noviembre de 2024 con el objetivo de realizar ataques distribuidos de denegación de servicio (DDoS).

La botnet mantiene aproximadamente 15.000 direcciones IP activas diarias y las infecciones se encuentran principalmente repartidas por China, Irán, Rusia, Turquía y Estados Unidos. 

Se sabe que el malware, que explota un arsenal de más de 20 vulnerabilidades de seguridad conocidas y credenciales Telnet débiles para el acceso inicial, ha estado activo desde febrero de 2024. La botnet ha sido bautizada como "gayfemboy" en referencia al término ofensivo presente en el código fuente. 

QiAnXin XLab afirmó que observó que el malware aprovechaba una vulnerabilidad Zero-Day en los routers industriales fabricados por Four-Faith, con sede en China. La vulnerabilidad en cuestión es CVE-2024-12856 (CVSS: 7,2), que se refiere a un error de inyección de comandos del sistema operativo (OS) que afecta a los modelos F3x24 y F3x36, al aprovechar las credenciales predeterminadas sin cambios. 

A fines del mes pasado, VulnCheck dijo que la vulnerabilidad se había explotado para lanzar reverse shells y una carga útil similar a Mirai en dispositivos comprometidos. 

Algunas de las otras fallas de seguridad que la botnet aprovechó para extender su alcance y escala incluyen CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017-5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 y CVE-2024-8957. 

Una vez lanzado, el malware intenta ocultar procesos maliciosos e implementa un formato de comando basado en Mirai para escanear dispositivos vulnerables, actualizarse y lanzar ataques DDoS contra objetivos de interés.

Los ataques DDoS que aprovechan la botnet han tenido como objetivo a cientos de entidades diferentes a diario, y la actividad alcanzará un nuevo pico en octubre y noviembre de 2024. Los ataques, aunque duran entre 10 y 30 segundos, generan un tráfico de alrededor de 100 Gbps.

La revelación se produce semanas después de que Juniper Networks advirtiera que los productos Session Smart Router (SSR) con contraseñas predeterminadas están siendo atacados por actores maliciosos para lanzar el malware de la botnet Mirai. Akamai también ha revelado infecciones de malware Mirai que utilizan como arma una falla de ejecución de código remoto en los DVR DigiEver.

"Los DDoS se han convertido en una de las formas más comunes y destructivas de ataques cibernéticos", dijeron los investigadores de XLab. "Sus modos de ataque son diversos, las rutas de ataque están muy ocultas y puede emplear estrategias y técnicas en constante evolución para realizar ataques precisos contra varias industrias y sistemas, lo que representa una amenaza significativa para empresas, organizaciones gubernamentales y usuarios individuales". 

El desarrollo también se produce en un momento en que los actores de amenazas están aprovechando servidores PHP susceptibles y mal configurados (por ejemplo, CVE-2024-4577) para implementar un minero de criptomonedas llamado PacketCrypt.

Fuente: THN 

Vía:

https://blog.segu-info.com.ar/2025/01/botnet-mirai-aprovecha-la.html