Dark Nexus, nueva Botnet IoT utilizada para realizar ataques DDoS y distribuir Malware


Un grupo de investigadores ha descubierto una nueva Botnet que está activamente buscando dispositivos de Internet de las cosas (IoT), enviando cargas útiles compiladas hacia una docena de arquitecturas de CPU, con la finalidad de utilizarlos para lanzar varios tipos de DDoS y malware.

Nombrada por los expertos como Dark Nexus, según su estudio ha tenido alrededor de 40 versiones diferentes, solo desde las versiones 4.0 a 8.6, que incluyen nuevas características lanzadas en los recientes meses de Diciembre 2019 a Marzo 2020.

Aunque el malware posee partes reutilizadas del código fuente de Qbot y Mirai, Dark Nexus tiene sus propios módulos principales, entre ellos incluye varias capacidades que permiten enviar cargas útiles prediseñadas personalmente o ofuscadas para una docena de arquitecturas de CPU de diferentes modelos, como enrutadores Dasan Zhone, D'Link y ASUS, hasta VDRs (Videograbadores) y cámaras térmicas.

La botnet utiliza como protocolo de comunicación el primer byte para indicar el tipo de comando, donde cada uno es:


“0x9a” - para cerrar o salir (exit).
“0x69 (‘i’)” - agrega un objetivo a la lista blancos para realizar ataques de fuerza bruta.
“0xfe” - ping de comando y control (C2).
“0x4b” (‘K’) - Ataques
“0x43 (‘C’) - Comandos de acciones de no ataque, donde el segundo byte puede ser:
     1: ejecuta el comando en un nuevo proceso.
     3: eliminar ramificaciones en ejecución.
     7: reboot
     16: eliminar procesos por puerto
     17: eliminar reverse proxy
     18: iniciar reverse proxy
“0xb1” - Conteo activo de conexiones por fuerza bruta.


La infraestructura de Dark Nexus consiste en varios servidores de comando y control que distribuyen los comandos mostrados arriba. Servidores que reportan (Server Report) cuando un equipo vulnerable es descubierto, para que el C2 lo agregue a la lista de blancos y servidores huésped (hosting servers), encargados de hospedar las muestras de la botnet que son enviadas por instrucciones del C2 a los dispositivos comprometidos.

Diagrama de infección y estructura de Dark Nexus


Según el reporte realizado por los investigadores en ciberseguridad, han determinado que hay aproximadamente 1.372 equipos que ya son Bots miembros de la Botnet Dark Nexus. Donde la mayor parte de ellos están ubicados en China con 653 equipos comprometidos.



País
Nro. de Bots
China
653
Korea
261
Tailandia
172
Brazil
151
Rusia
148
Taiwan
110
Ucrania
77
Estados Unidos
68
India
46
Vietnam
24

Dispositivos afectados en el mundo por Dark Nexus


Los expertos en ciberseguridad destacan que Dark Nexus no es la primera botnet con variantes de características de otras Botnets. En este caso, una posible motivación sea la de vender el acceso a estas proxies en foros de la deep web, aunque no han encontrado evidencia de esto aún.

Desde Arkavia Networks recomendamos que los usuarios cambien inmediatamente sus credenciales por defecto a otras complejas y personalizadas de sus dispositivos expuestos a internet, desactivar el acceso remoto desde internet a los dispositivos IoT, así como mantenerlos actualizados, con el fin de defenderse de los ataques de fuerza bruta lanzados por las Botnets.




Fuente:

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Dark Nexus, nueva Botnet IoT utilizada para realizar ataques DDoS y distribuir Malware
Dark Nexus, nueva Botnet IoT utilizada para realizar ataques DDoS y distribuir Malware
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhV-7Ny7aAQrlRnDBbKXaKGK5hmef6ftsuST_bmScZs8TUHQtpKzqHRfv2-M-349xY3IqTz4pDsI4JuPk5XNIxIUH_gyGj6XrwBay6eXB9_oJKzDd1oNY21UTiKp4-Do29zgKsyqO5MMDA/s640/Botnet+Dark+Nexus.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhV-7Ny7aAQrlRnDBbKXaKGK5hmef6ftsuST_bmScZs8TUHQtpKzqHRfv2-M-349xY3IqTz4pDsI4JuPk5XNIxIUH_gyGj6XrwBay6eXB9_oJKzDd1oNY21UTiKp4-Do29zgKsyqO5MMDA/s72-c/Botnet+Dark+Nexus.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/04/dark-nexus-nueva-botnet-iot-utilizada.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/04/dark-nexus-nueva-botnet-iot-utilizada.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy