Un grupo de investigadores ha descubierto una nueva Botnet que está activamente buscando dispositivos de Internet de las cosas (IoT), enviando cargas útiles compiladas hacia una docena de arquitecturas de CPU, con la finalidad de utilizarlos para lanzar varios tipos de DDoS y malware.
Nombrada por los expertos como Dark Nexus, según su estudio ha tenido alrededor de 40 versiones diferentes, solo desde las versiones 4.0 a 8.6, que incluyen nuevas características lanzadas en los recientes meses de Diciembre 2019 a Marzo 2020.
Aunque el malware posee partes reutilizadas del código fuente de Qbot y Mirai, Dark Nexus tiene sus propios módulos principales, entre ellos incluye varias capacidades que permiten enviar cargas útiles prediseñadas personalmente o ofuscadas para una docena de arquitecturas de CPU de diferentes modelos, como enrutadores Dasan Zhone, D'Link y ASUS, hasta VDRs (Videograbadores) y cámaras térmicas.
La botnet utiliza como protocolo de comunicación el primer byte para indicar el tipo de comando, donde cada uno es:
“0x9a” - para cerrar o salir (exit).
“0x69 (‘i’)” - agrega un objetivo a la lista blancos para realizar ataques de fuerza bruta.
“0xfe” - ping de comando y control (C2).
“0x4b” (‘K’) - Ataques
“0x43 (‘C’) - Comandos de acciones de no ataque, donde el segundo byte puede ser:
1: ejecuta el comando en un nuevo proceso.
3: eliminar ramificaciones en ejecución.
7: reboot
16: eliminar procesos por puerto
17: eliminar reverse proxy
18: iniciar reverse proxy
“0xb1” - Conteo activo de conexiones por fuerza bruta.
La infraestructura de Dark Nexus consiste en varios servidores de comando y control que distribuyen los comandos mostrados arriba. Servidores que reportan (Server Report) cuando un equipo vulnerable es descubierto, para que el C2 lo agregue a la lista de blancos y servidores huésped (hosting servers), encargados de hospedar las muestras de la botnet que son enviadas por instrucciones del C2 a los dispositivos comprometidos.
Diagrama de infección y estructura de Dark Nexus
Según el reporte realizado por los investigadores en ciberseguridad, han determinado que hay aproximadamente 1.372 equipos que ya son Bots miembros de la Botnet Dark Nexus. Donde la mayor parte de ellos están ubicados en China con 653 equipos comprometidos.
Dispositivos afectados en el mundo por Dark Nexus
Los expertos en ciberseguridad destacan que Dark Nexus no es la primera botnet con variantes de características de otras Botnets. En este caso, una posible motivación sea la de vender el acceso a estas proxies en foros de la deep web, aunque no han encontrado evidencia de esto aún.
Desde Arkavia Networks recomendamos que los usuarios cambien inmediatamente sus credenciales por defecto a otras complejas y personalizadas de sus dispositivos expuestos a internet, desactivar el acceso remoto desde internet a los dispositivos IoT, así como mantenerlos actualizados, con el fin de defenderse de los ataques de fuerza bruta lanzados por las Botnets.
Fuente:
COMENTARIOS