Um botnet baseado em Mirai chamado ‘Moobot’ está se espalhando agressivamente através da exploração de uma falha crítica de injeção de comando no servidor web de muitos produtos Hikvision.
A Hikvision é uma fabricante chinesa estatal de câmeras de vigilância e equipamentos que o governo dos Estados Unidos sancionou devido ao abuso dos direitos humanos.
Esta vulnerabilidade é rastreada como CVE-2021-36260 e pode ser explorada remotamente com o envio de mensagens especialmente criadas contendo comandos mal-intencionados.
O Hikvision corrigiu a falha em setembro de 2021 com uma atualização de firmware (v 210628), mas nem todos os usuários se apressaram em aplicar a atualização de segurança.
A Fortinet relata que a Moobot está aproveitando essa falha para comprometer dispositivos não corrigidos e extrair dados confidenciais das vítimas.
O processo de infecção
A exploração da falha é bastante simples, visto que não requer autenticação e pode ser acionada pelo envio de uma mensagem a um dispositivo vulnerável exposto publicamente.
Entre as várias cargas úteis que utilizam o CVE-2021-36260, a Fortinet encontrou um downloader mascarado como “macHelper”, que busca e executa o Moobot com o parâmetro “hikivision”.
O malware também modifica comandos básicos como “reinicializar” para que não funcionem corretamente e evitem que o administrador reinicie o dispositivo comprometido.
Um novo giro de Mirai
Os analistas da Fortinet identificaram pontos comuns entre Moobot e Mirai, como a sequência de dados usada na função de gerador de sequência alfanumérica aleatória.
Além disso, Moobot apresenta alguns elementos de Satori, uma variante diferente de Mirai cujo autor foi preso e condenado no verão de 2020.
Semelhanças com o Satori incluem:
- Usando um downloader separado.
- A bifurcação do processo “/usr/ sbin *”.
- Sobrescrever o arquivo legítimo “macHelper” com o executável Moobot.
É essencial sublinhar que esta não é a primeira vez que Moobot foi avistado na natureza, como os pesquisadores da Unidade 42 o descobriram pela primeira vez em fevereiro de 2021.
No entanto, o fato de que o botnet ainda está adicionando novos CVEs indica que ele está sendo desenvolvido ativamente e enriquecido com novo potencial de segmentação.
Alistando você em um exército de DDoS
O objetivo do Moobot é incorporar o dispositivo comprometido em um enxame de DDoS.
O C2 envia um comando SYN flood junto com o endereço IP de destino e o número da porta para o ataque.
Outros comandos que o servidor C2 pode enviar incluem 0x06 para UDP flood, 0x04 para ACK flood e 0x05 para ACK + PUSH flood.
Ao examinar os dados do pacote capturado, a Fortinet conseguiu rastrear um canal do Telegram que começou a oferecer serviços DDoS em agosto passado.
Ter seu dispositivo inscrito em enxames de DDoS resulta em aumento do consumo de energia, desgaste acelerado e faz com que o dispositivo pare de responder.
A melhor maneira de proteger seus dispositivos IoT de botnets é aplicar as atualizações de segurança disponíveis o mais rápido possível, isolá-los em uma rede dedicada e substituir as credenciais padrão por senhas fortes.
SAIBA MAIS SOBRE O BOTNET MOOBOT
Fonte: bleepingcomputer
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.