Um novo botnet jamais visto antes, chamado Goldoon, tem sido observado atacando roteadores D-Link com uma falha crítica de segurança de quase uma década, com o objetivo de usar os dispositivos comprometidos para lançar mais ataques.
A vulnerabilidade em questão é a
CVE-2015-2051
(pontuação CVSS: 9.8), que afeta os roteadores D-Link DIR-645 e permite que atacantes remotos executem comandos arbitrários por meio de solicitações HTTP especialmente criadas.
"Se um dispositivo alvo é comprometido, os atacantes podem ganhar controle total, permitindo que extraiam informações do sistema, estabeleçam comunicação com um servidor C2 e então usem esses dispositivos para lançar mais ataques, como negação de serviço distribuído (DDoS)", disseram os pesquisadores da Fortinet FortiGuard Labs, Cara Lin e Vincent Li.
Dados de telemetria da empresa de segurança de rede apontam para um pico na atividade do botnet por volta de 9 de Abril de 2024.
Tudo começa com a exploração da
CVE-2015-2051
para recuperar um script de dropper de um servidor remoto, responsável por baixar o payload da próxima etapa para diferentes arquiteturas de sistema Linux, incluindo aarch64, arm, i686, m68k, mips64, mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha, e PA-RISC.
O payload é subsequentemente lançado no dispositivo comprometido e atua como um downloader para o malware Goldoon de um endpoint remoto, após o qual o dropper remove o arquivo executado e então se delete na tentativa de encobrir o rastro e passar despercebido.
Qualquer tentativa de acessar o endpoint diretamente via um navegador web exibe a mensagem de erro: "Desculpa, você é um Agente do FBI & não podemos ajudar você :( Vá embora ou eu vou te matar :)"
Goldoon, além de estabelecer persistência no host usando vários métodos de autorun, estabelece contato com um servidor de comando-e-controle (C2) para aguardar comandos para ações de acompanhamento.
Isso inclui "incríveis 27 métodos diferentes" para realizar ataques de inundação DDoS usando vários protocolos como DNS, HTTP, ICMP, TCP, e UDP.
"Embora a
CVE-2015-2051
não seja uma vulnerabilidade nova e apresente uma complexidade de ataque baixa, ela tem um impacto crítico de segurança que pode levar à execução de código remoto", disseram os pesquisadores.
Este desenvolvimento surge enquanto botnets continuam a evoluir e explorar o máximo de dispositivos possível, mesmo enquanto cibercriminosos e atores de ameaça persistente avançada (APT) demonstraram interesse em roteadores comprometidos para uso como uma camada de anonimização.
"Cibercriminosos alugam roteadores comprometidos para outros criminosos, e provavelmente também os disponibilizam para provedores comerciais de proxy residencial," disse a empresa de cibersegurança Trend Micro em um relatório.
Atuadores de ameaças de estados-nação como Sandworm usaram seus próprios botnets de proxy dedicados, enquanto o grupo APT Pawn Storm tinha acesso a um botnet de proxy criminoso de roteadores Ubiquiti EdgeRouters.
Ao usar os roteadores hackeados como proxies, o objetivo é esconder vestígios de sua presença e tornar a detecção de atividades maliciosas mais difícil, misturando sua atividade com o tráfego normal benigno.
Mais cedo em Fevereiro, o governo dos EUA tomou medidas para desmantelar partes de um botnet chamado MooBot que, entre outros dispositivos voltados para a internet como Raspberry Pi e servidores VPS, primordialmente se aproveitou de roteadores Ubiquiti EdgeRouters.
A Trend Micro disse observar os roteadores sendo usados para força bruta de Secure Shell (SSH), spam farmacêutico, empregando refletores de servidor de mensagens de bloco (SMB) em ataques de retransmissão de hash NTLMv2, proxying de credenciais roubadas em sites de phishing, proxying de múltiplos propósitos, mineração de criptomoeda e enviando e-mails de spear phishing.
Roteadores Ubiquiti também foram atacados por outro ator de ameaça que infecta esses dispositivos com um malware denominado Ngioweb, que são então usados como nós de saída em um botnet de proxy residencial comercialmente disponível.
Os achados reforçam ainda mais o uso de várias famílias de malware para arrebatar os roteadores em uma rede que atores de ameaças poderiam controlar, efetivamente transformando-os em postos de escuta secretos capazes de monitorar todo o tráfego de rede.
"Roteadores de internet permanecem um ativo popular para atores de ameaças comprometerem, já que muitas vezes têm monitoramento de segurança reduzido, políticas de senha menos rigorosas, não são frequentemente atualizados e podem usar sistemas operacionais poderosos que permitem a instalação de malware, como mineradores de criptomoedas, proxies, malware de negação de serviço distribuído (DDoS), scripts maliciosos e servidores web," disse a Trend Micro.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...