Nueva Botnet P2P Mozi dirigido para controlar enrutadores Netgear, Huawei y D-Link


Botnet es un conjunto o grupo de robots informáticos (Bots) dentro de una red, los cuales se ejecutan de forma autónoma y automática. Con el fin de controlar dispositivos de forma remota. 

Una nueva Botnet fue encontrada por un grupo de investigadores la cual llamaron “Mozi” (Debido al nombre de los archivos de muestra de propagación “Mozi.m / Mozi.a”), dicha botnet está enfocada en sondear activamente contraseñas débiles de Telnet y tomar el control de los dispositivos integrándolos a una red entre iguales (P2P). Además los expertos destacaron que el principal propósito de la Botnet P2P Mozi, es la de ser usada para ataques de denegación de servicios distribuidos (DDoS).

La botnet implementa una extensión personalizada del protocolo de tabla de Hash distribuida (DTH), basada en el estándar que es comúnmente utilizado por clientes de torrents y otras plataformas para almacenar información de contacto del nodo P2P. Lo cual hace mas rapido el establecer la red botnet sin necesidad de servidores. A su vez los analistas destacaron que también hace más fácil ocultar la carga útil (payload) entre una gran cantidad de tráfico DHT, Mozi usa algoritmos XOR y ECDSA384 (Algoritmo de firma digital de curva elíptica), con la finalidad de garantizar la integridad y seguridad de los componentes de la Botnet, como de la red de nodos P2P.


Botnet Mozi

El método de propagación utiliza Telnet o vulnerabilidad en cualquier enrutador (Router) o CCTV DVR (Grabador de Video Digital de Circuitos Cerrados) que tenga una contraseña débil, iniciando sesión por fuerza bruta, para luego inyectar y ejecutar un payload en los dispositivos. Una vez el malware esté cargado, se activa el bot que automáticamente se unirá a un nodo de una red P2P Mozi. Además de poder recibir instrucciones y ejecutar comandos emitidos desde el administrador de la Botnet (Botnet Master).

Las principales instrucciones aceptadas por Mozi están diseñadas para:
  • Lanzar ataques DDoS
  • Recolectar y extraer información de el Bot (Bot ID, IP, Puerto, Nombre de Archivo, Puerta de Enlace, Arquitectura de CPU)
  • Ejecutar carga útil desde una URL
  • Actualizar desde una URL específica (Archivo de configuración)
  • Ejecutar comandos personalizados al sistema o al bot.

Desde Arkavia Networks recomendamos encarecidamente actualizar sus dispositivos para evitar este ataque.

Los dispositivos de Netgear, Huawei y D-Link encontrados sin parchar que son altamente vulnerables a ser agregados por Mozi son:

Dispositivos afectados Vulnerabilidad
Eir D1000 Router Eir D1000 Wireless Router RCI
Vacron NVR devices Vacron NVR RCE
Devices using the Realtek SDK CVE-2014-8361
Netgear R7000 and R6400 Netgear cig-bin Command Injection
DGN1000 Netgear routers Netgear setup.cgi unauthenticated RCE
MVPower DVR JAWS Webserver unauthenticated shell command execution
Huawei Router HG532 CVE-2017-17215
D-Link Devices HNAP SoapAction-Header Command Execution
GPON Routers CVE-2018-10561, CVE-2018-10562
D-Link Devices UPnP SOAP TelnetD Command Execution
CCTV DVR CCTV/DVR Remote Code Execution

Indicadores de Compromisos (IoC)
Muestras MD5
  • eda730498b3d0a97066807a2d98909f3
  • 849b165f28ae8b1cebe0c7430f44aff3



Fuente:


COMENTARIOS

Nombre

Actualizaciones,2,Adobe,1,Adware,3,android,28,Antivirus,3,Apple,14,Apps,12,Arkavia Networks,13,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,2,Bluetooth,1,Botnet,3,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,1,Ciberataque,2,Cibercrimen,124,Ciberdelincuencia,3,ciberseguridad,98,Cisco,1,Citrix,3,Cloud,2,CMS,1,Comunicaciones,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,4,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,8,Datos,2,DDoS,2,Deep Web,5,dlink,1,Ecommerce,2,Emotet,1,Empresas,113,enrutadores,1,Eventos,5,Exchange,1,exploit,1,Exploits,11,F5 Networks,1,Facebook,7,Firmware,2,google,27,Hacking,83,Hardware,7,Hosting,2,Industria,10,Infostealer,1,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,7,ios,4,IoT,3,ISO,1,Linux,7,Malware,34,Malwares,32,Microsoft,28,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,1,OS,9,Payload,2,Paypal,1,phishing,14,Plugins,1,Protocolos,12,Python,1,Ransomware,13,RCE,1,RDP,1,Recomendaciones,15,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rootkit,1,Routers,2,RRSS,1,Salud,2,Servicios,5,Smartphones,29,SMB,2,Software,23,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,4,updates,22,VPN,3,Vulnerabilidad,12,Vulnerabilidades,68,Web,5,WhatsApp,4,wifi,5,Windows,12,Wordpress,4,Zoom,2,
ltr
item
Arkavia Networks News: Nueva Botnet P2P Mozi dirigido para controlar enrutadores Netgear, Huawei y D-Link
Nueva Botnet P2P Mozi dirigido para controlar enrutadores Netgear, Huawei y D-Link
https://1.bp.blogspot.com/-DKBXoTrPuAY/XgTdTJlPosI/AAAAAAAAByQ/LIOP4pYEIcUlxs6TurnAAmy5IisgEG77gCLcBGAsYHQ/s640/Mozi%2BBotnet%2BP2P.jpg
https://1.bp.blogspot.com/-DKBXoTrPuAY/XgTdTJlPosI/AAAAAAAAByQ/LIOP4pYEIcUlxs6TurnAAmy5IisgEG77gCLcBGAsYHQ/s72-c/Mozi%2BBotnet%2BP2P.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/12/nueva-botnet-p2p-mozi-dirigido-para.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/12/nueva-botnet-p2p-mozi-dirigido-para.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy