0
0
Pesquisadores de segurança alertam que o Mozi agora permite que persistência em gateways de rede desses fabricantes
Pesquisadores de segurança da Microsoft alertam que a botnet Mozi foi atualizada por seus operadores, de maneira que agora o malware consegue persistência em gateways de rede fabricados pela Netgear, Huawei e ZTE. Segundo os pesquisadores, o Mozi toma ações específicas para aumentar as chances de sobrevivência após a reinicialização ou qualquer outra tentativa de outro malware ou correspondente interferir em sua operação.
A Microsoft não informa se já foram observados ataques do Mozi atualizado. Mas a empresa, para atenuar os riscos, recomenda o uso de senhas fortes e que os dispositivos sejam mantidos com os patches adequados. “Isso reduzirá as superfícies de ataque alavancadas pela botnet e impedirá que invasores se posicionem de forma que possam usar a persistência recém-descoberta e outras técnicas de exploração”, dizem os pesquisadores.
O Mozi é uma botnet ponto a ponto que usa uma rede semelhante ao BitTorrent para infectar dispositivos conectados, variando de gateways de rede a gravadores de vídeo digital (DVRs – Digital Video Recorders). O malware obtém acesso explorando senhas telnet fracas ou vulnerabilidades de IoT não corrigidas. O Mozi é usado principalmente para conduzir ataques distribuídos de negação de serviço (DDoS), mas também pode ser usado para oferecer suporte à exfiltração de dados e execução de carga útil.
Novos recursos do Mozi
O malware agora toma medidas para aumentar as chances de sobrevivência ao atingir os gateways Netgear, Huawei e ZTE, alcançando persistência privilegiada, diz a Microsoft. Para conseguir fazer isso, ele verifica especificamente a existência do folder overlay. Se não for encontrado, o malware tentará explorar a falha CVE-2015-1328, dizem os pesquisadores.
O malware também foi ajustado para fazer uma verificação específica nos roteadores e gateways ZTE e Huawei, diz a Microsoft. Em dispositivos ZTE, o Mozi procura a existência do folder /usr/local/ct, já que ele serve como um indicador de que o dispositivo é um modem/roteador ZTE. Ele então copia suas instâncias em /usr/local/ct /ctadmin0 para fornecer persistência.
Em dispositivos Huawei, o Mozi insere vários comandos para alterar a senha e desativa o servidor de gerenciamento para dispositivos de modem/roteador Huawei. Ao alterar as credenciais de login, ele evita que as equipes de segurança recuperem o acesso ao dispositivo por meio do servidor de gerenciamento, afirmam os pesquisadores.
Os criadores do malware também melhoraram a sua capacidade de falsificação de DNS. Agora, cada solicitação de DNS é respondida com o IP falsificado, que os pesquisadores da Microsoft dizem ser uma técnica eficiente para redirecionar o tráfego para a infraestrutura dos invasores.
Os gateways de rede são valorizados por invasores porque são úteis como um ponto de acesso inicial para uma rede corporativa. Eles geralmente procuram um dispositivo vulnerável usando ferramentas de varredura, como o Shodan. Uma vez que um dispositivo vulnerável é infectado, o malware realiza o reconhecimento em dispositivos vizinhos e então se move lateralmente para comprometer alvos de maior valor, incluindo sistemas de informação e sistemas industriais críticos de TI/OT.
FONTE: CISO ADVISOR