0
0
Uma nova botnet baseada em Mirai está mirando vulnerabilidades de zero-day em roteadores Tenda, de acordo com pesquisadores da 360 Netlab, uma unidade da empresa chinesa de cibersegurança Qihoo 360.
Apelidado de Ttint, o Trojan de acesso remoto (RAT) contém recursos de negação distribuída de serviço, assim como qualquer prole do Mirai, mas também implementa 12 funções de acesso remoto, incluindo um proxy Socket5, modificando o roteador DNS e iptables e executando comandos do sistema.
Para contornar a detecção de tráfego típico gerado pelas botnets Mirai, a Ttint usa o protocolo WSS (WebSocket over TLS) para comunicação com o servidor de comando e controle (C&C) e também usa criptografia.
A atividade da botnet foi inicialmente detectada em novembro de 2019, quando os atacantes começaram a abusar da primeira vulnerabilidade de zero-day em roteadores Tenda (CVE-2020-10987). O segundo bug começou a ser explorado em agosto de 2020, mas o 360 Netlab diz que o fornecedor não respondeu aos seus e-mails relatando a falha.
“Analisamos e comparamos amostras de Ttint nos dois períodos e descobrimos que suas instruções de C2 eram exatamente as mesmas, mas elas tinham algumas diferenças na vulnerabilidade de 0 dias, XOR Key e C2, usadas”, diz 360 Netlab.
Ttint, dizem os pesquisadores, tem um comportamento relativamente simples, onde exclui seus próprios arquivos ao executar, modifica seu nome de processo, manipula o cão de guarda e pode impedir a reinicialização do dispositivo. Depois de estabelecer uma conexão com o C&C, ele envia informações do dispositivo e começa a esperar por instruções.
O malware tem muitos dos recursos observados anteriormente no Mirai, como um nome de processo aleatório, criptografia de informações de configuração, suporte para vários vetores de ataque DDoS ou o fato de que apenas uma única instância de malware está sendo executado por vez. No entanto, ao contrário de Mirai, ele usa o protocolo websocket.
As funções implementadas no Ttint permitem que os invasores acessem remotamente a intranet do roteador, sequestrem o acesso à rede para possivelmente roubar informações confidenciais, definir regras de encaminhamento de tráfego e aproveitar um shell reverso como um shell local. O malware também pode se atualizar ou matar seu próprio processo, e pode executar comandos emitidos pelo C&C.
A ameaça suporta um total de 22 comandos, incluindo muitos para lançar ataques DDoS.
Os usuários do roteador tenda são aconselhados a verificar o firmware em seus dispositivos e certificar-se de que as atualizações disponíveis sejam instaladas, se necessário. Eles também devem monitorar e bloquear os IoCs relacionados compartilhados pelo 360 Netlab.
FONTE: SECURITY WEEK