FreakOut Botnet convierte DVR en criptomineros de Monero - Calendae | Informática, Electrónica, CMS, Ciberseguridad

FreakOut Botnet convierte DVR en criptomineros de Monero

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y en esta ocasión hablaremos sobre FreakOut Botnet convierte DVR en criptomineros de Monero

FreakOut Botnet convierte DVR en criptomineros de Monero

El nuevo exploit Necro Python se dirige a los DVR de herramientas visuales que se utilizan en los sistemas de vigilancia.

La botnet Necro del grupo amenazante FreakOut ha desarrollado un nuevo truco: infectar los DVR de Visual Tools con un minero de Monero.

Los investigadores de Juniper Threat Labs han publicado un informe detallado nuevas actividades de FreakOut, también conocido como Necro Python y Python.IRCBot. A fines de septiembre, el equipo notó que las botnets comenzaron a apuntar a los modelos Visual Tools DVR VX16 4.2.28.0 con ataques de criptominería. Los dispositivos se implementan normalmente como parte de un sistema de vigilancia de calidad profesional.

A vulnerabilidad de inyección de comando se encontró en los mismos dispositivos el pasado mes de julio. Visual Tools aún no ha respondido a la solicitud de comentarios de Threatpost.

«El script se puede ejecutar tanto en entornos Windows como Linux», dice el informe de Juniper. “El script tiene su propio motor polimórfico para transformarse en cualquier ejecución que pueda eludir las defensas basadas en firmas. Funciona leyendo cada cadena en su código y cifrándola con una clave codificada.

FreakOut ha estado en escena desde al menos enero, aprovechando las vulnerabilidades identificadas recientemente y sin parchear para lanzar ataques distribuidos de denegación de servicio (DDoS) y criptominería. Juniper informa que los actores de amenazas han desarrollado varias iteraciones del bot Necro, logrando mejoras constantes en su rendimiento y persistencia durante los últimos meses.

«Hemos notado algunos cambios en este bot con respecto a la versión anterior», afirma el informe. «Primero, eliminó el escáner SMB que se observó en el ataque de mayo de 2021. En segundo lugar, cambió la URL que coloca en los archivos de script en el sistema comprometido».

La nueva funcionalidad DGA ayuda a evadir la detección

El equipo explicó que las versiones más nuevas del bot Necro han eliminado la dependencia anterior de una URL codificada para un algoritmo de generación de dominio (DGA) para una mayor persistencia.

El nuevo exploit aún no se ha implementado por completo evaluado para un CVE, según NIST, pero una prueba de concepto está disponible a través de Exploit Database.

Primero, el bot Necro escanea el puerto de destino: [22, 80, 443, 8081, 8081, 7001]. Si se detecta, lanzará un XMRig – este es un minero de Monero (XMR) de alto rendimiento – vinculado a esta billetera:

[45iHeQwQaunWXryL9YZ2egJxKvWBtWQUE4PKitu1VwYNUqkhHt6nyCTQb2dbvDRqDPXveNq94DG9uTndKcWLYNoG2uonhgH]

El equipo agregó que el bot todavía está tratando activamente de explotar estas vulnerabilidades identificadas previamente:

  • CVE-2020-15568 – Términos de servicio de TerraMaster anteriores al 4.1.29
  • CVE-2021-2900 – Genexis PLATINUM 4410 2.1 P4410-V2-1.28
  • CVE-2020-25494 – Xinuos (anteriormente SCO) Openserver v5 y v6
  • CVE-2020-28188 – Condiciones de servicio de TerraMaster
  • CVE-2019-12725: Zeroshell 3.9.0

Mounir Hahad, director de Juniper Threat Labs, dijo a Threatpost que los equipos de seguridad necesitan seguridad bien equipada para manejar los intentos de dominio DGA.

«La existencia misma de este tipo de botnet destaca la necesidad de un enfoque de seguridad conectado en el que las capacidades de seguridad del DNS en la red identifiquen los intentos de conexión a los dominios DGA detrás de los servicios públicos de DNS dinámico, así como los enrutadores, conmutadores y cortafuegos capaces de aislar a los comprometidos host del resto de la red «, dijo Hahad.

.

Recuerda compartir en una historia de tu Instagram para que tus amigos lo vean

??? ? ? ???

Comparte