0
0
Pesquisadores descobrem um novo worm e botnet apelidado de Gitpaste-12 por sua capacidade de se espalhar via GitHub e Pastebin.
Pesquisadores de segurança descobriram um novo worm e botnet apelidado de Gitpaste-12, nomeado por seu uso do GitHub e pastebin para hospedar código de componentes e as 12 vulnerabilidades conhecidas que explora para comprometer sistemas.
A equipe de pesquisa do Juniper Threat Labs detectou os primeiros ataques de Gitpaste-12 em 15 de outubro de 2020; no entanto, a equipe nota que o primeiro compromisso foi visto no GitHub em 9 de julho, o que significa que o malware viveu no GitHub desde então. Pesquisadores relataram a URL pastebin e o git repo, que foi fechado em 30 de outubro de 2020, e deve parar a propagação da botnet.
O Gitpaste-12 tem 12 módulos de ataque exclusivos disponíveis, embora os pesquisadores notem que há evidências de que seu desenvolvimento está em andamento. Seus alvos atuais são servidores x86 baseados em Linux e dispositivos IoT baseados em Linux ARM e MIPS.
Na primeira fase de um ataque, o Gitpaste-12 tenta usar explorações conhecidas para comprometer sistemas de destino e pode tentar obter senhas de força bruta. Após o compromisso inicial, o malware baixa um script do Pastebin; isso chama o mesmo script e executa-o novamente a cada minuto, explicam os pesquisadores em um post no blog. É presumivelmente assim que a botnet é atualizada.
O script principal carregado na máquina da vítima durante o ataque começa a baixar e executar outra parte do Gitpaste-12. Ele também baixa e executa componentes do GitHub.
Depois disso, o malware prepara seu ambiente de destino eliminando defesas do sistema, como regras de firewall e software comum de prevenção e monitoramento de ameaças. Pesquisadores descobriram um script que contém comentários escritos em chinês e comandos para desativar algumas ferramentas de segurança. Em um exemplo, os comandos desabilitem agentes de segurança na nuvem, indicando que o invasor pretendia atingir a infraestrutura de nuvem pública fornecida pelo Alibaba Cloud e pela Tencent, observam.
Alex Burt, pesquisador de segurança do Juniper Threat Labs, diz que o ataque foi detectado a partir do IP da China; no entanto, “não sabemos se este é apenas um hospedeiro infectado ou a própria máquina do invasor original”, diz ele. Enquanto outros atacantes usam o GitHub ou o Pastebin para armazenar o código de componentes, observa Burt, eles normalmente não usam ambos.
O Gitpaste-12 também tem a capacidade de minerar para a criptomoeda Monero, bem como um método para se espalhar por diferentes máquinas.
“O malware Gitpaste-12 também contém um script que lança ataques contra outras máquinas, na tentativa de se replicar e se espalhar”, explicam os pesquisadores. “Ele escolhe um CIDR aleatório/8 para atacar e tentará todos os endereços dentro desse intervalo.” Alguns sistemas comprometidos têm postagens TCP 30004 e 30005 abertas para comandos shell, acrescentam.
A botnet usa 11 vulnerabilidades e um telnet brute-forcer para se espalhar. Essas falhas conhecidas existem em produtos como roteadores Asus, roteador Netlink GPON, câmera IP AVTECH, roteador Huawei, Apache Struts e Mongo DB, entre outros.
“Esta é uma boa coleção de explorações para dispositivos IoT”, diz Burt. “Parece que os atacantes gastaram muito esforço neste ataque.”
Embora o fechamento do git repo deva parar a proliferação do Gitpaste-12, ele diz que os operadores poderiam usar outra hospedagem ou criar outra conta no GitHub ou Pastebin, a fim de trazer a botnet de volta.
FONTE: DARK READING