Variante de Botnet Mirai tienen como objetivos los dispositivos de almacenamiento Zyxel


Zyxel es una empresa Taiwanesa, dedicada a fabricar y manufacturar dispositivos de red. Entre estos productos se encuentran los sistemas de almacenamiento conectados a la red, también conocidos como (NAS - Network Attached Storage). Estos dispositivos son utilizados en una red, con el fin de compartir almacenamiento de archivos entre los equipos que estén conectados a la red, por medio de un sistema operativo, dedicado y optimizado para dar acceso a los servicios de protocolos que cumplen dicha finalidad (CIFS, NFS, FTP o TFTP.)

Recientemente una nueva variante del Malware Mirai está apuntado a una vulnerabilidad crítica descubierta en los NAS de Zyxel, al explotarla, las conecta a una botnet de Internet de las cosas (IoTs).

Fue nombrada por los expertos como Mukashi, el malware tiene la capacidad de utilizar ataques de fuerza bruta usando diferentes combinaciones por defecto en un esfuerzo por iniciar sesión en productos NAS marca Zyxel, tomar control de ellos y agregarlos a una red de dispositivos IoTs que pueden ser utilizados para efectuar ataques distribuidos de denegación de servicio (DDoS). Los investigadores destacaron que tan pronto se hizo publica la prueba de concepto (PoC - Proof-of-concept) de la vulnerabilidad (CVE-2020-9054) el pasado mes de febrero, inició la campaña.

La vulnerabilidad (CVE-2020-9054) es de tipo ejecución de código remoto (RCE) y se encuentra en los dispositivos NAS marca Zyxel con versiones 5.21 o inferiores del firmware. Según los expertos actualmente están intentado explotarla de forma activa. Es por ello que habilitaron una página web para que los usuarios comprueben si sus dispositivos son vulnerables.

La primera incidencia observada por el grupo de analistas ocurrió a mediados de la segunda semana de Marzo. El ciberdelincuente logró penetrar en la red y comprometer el NAS,  donde descargo un script de shell en el directorio tmp, ejecutarlo y intento eliminarlo para no dejar evidencia.


Petición de la explotación


Script de Shell que descarga y lanza los bots


Mukashi escanea los puertos 23 TCP de los host aleatoriamente, cuando es ejecutado, imprime el mensaje “Protecting your device from further infections” a la consola y cambiando su nombre de proceso a “dvrhelper”. Los expertos sugieren que esto puede significar, que el malware pueda heredar ciertos rasgos de su predecesor Mirai. Además, se enlaza al puerto TCP 23448 para asegurar una sola instancia de ejecución en el sistema infectado.

El malware decodifica un grupo de cadenas durante su iniciación, estas cadenas, incluyen credenciales y comandos del C2. Diferenciando de su predecesor que utiliza una encriptación convencional xor, Mukashi usa una rutina personalizada para descifrar y cifrar estos comandos, como las credenciales. Los investigadores proveyeron de un script para desencriptarlos, el cual podrá conseguir en el enlace de referencia al final.

Como podemos ver existen algunas diferencias en el código de Mukashi, pero sus capacidades con exactamente las mismas que Mirai, la cual es tener la capacidad de realizar ataques DDoS a gran escala contra objetivos seleccionados.

El parche de seguridad de Zyxel para los productos NAS y cortafuegos (firewall) están disponibles en la página oficial de la marca, recomendamos encarecidamente a los usuarios actualizar a la última versión para mantenerse protegidos de los ataques de Mukashi. Así como utilizar contraseñas robustas en los dispositivos para dificultar los ataques de fuerza bruta del malware.




Indicadores de Compromiso (IoCs)

Archivos (SHA - 256)

arm.bot
8c0c4d8d727bff5e03f6b2aae125d3e3607948d9dff578b18be0add2fff3411c

arm5.bot
5f918c2b5316c52cbb564269b116ce63935691ee6debe06ce1693ad29dbb5740

arm6.bot
8fa54788885679e4677296fca4fe4e949ca85783a057750c658543645fb8682f

arm7.bot
90392af3fdc7af968cc6d054fc1a99c5156de5b1834d6432076c40d548283c22

mips.bot
675f4af00520905e31ff96ecef2d4dc77166481f584da89a39a798ea18ae2144

mpsl.bot
46228151b547c905de9772211ce559592498e0c8894379f14adb1ef6c44f8933

sh4.bot
753914aa3549e52af2627992731ca18e702f652391c161483f532173daeb0bbd

x86.bot
ce793ddec5410c5104d0ea23809a40dd222473e3d984a1e531e735aebf46c9dc

zi
a059e47b4c76b6bbd70ca4db6b454fd9aa19e5a0487c8032fe54fa707b0f926d



Red (C2)

Reporte de inicio de sesión exitoso
45[.]84[.]196[.]75[:]34834

Comando y Control (C2)
45[.]84[.]196[.]75[:]4864

Enlace a única instancia local
0[.]0[.]0[.]0[:]23448




Fuente:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Variante de Botnet Mirai tienen como objetivos los dispositivos de almacenamiento Zyxel
Variante de Botnet Mirai tienen como objetivos los dispositivos de almacenamiento Zyxel
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEienlDYw_vH53IYzhFzXMwtMlLYe1dPx5Hm28ORQYUITquw5mtiT10A5KmUGX3TX4_AKUPQiiqqYdTdYQH39aEpJa3qussiPP6EHsfTuDNRmx483ctrNQz5g_i1fXqUzNN66KKCjQYbVt4/s640/Malware+Mukashi+Botnet.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEienlDYw_vH53IYzhFzXMwtMlLYe1dPx5Hm28ORQYUITquw5mtiT10A5KmUGX3TX4_AKUPQiiqqYdTdYQH39aEpJa3qussiPP6EHsfTuDNRmx483ctrNQz5g_i1fXqUzNN66KKCjQYbVt4/s72-c/Malware+Mukashi+Botnet.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/03/variante-de-botnet-mirai-tienen-como.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/03/variante-de-botnet-mirai-tienen-como.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy