Botnet Shellbot apunta a dispositivos IoT y servidores Linux

Los expertos en seguridad de Trend Micro han descubierto un bot IRC apodado Shellbot que fue construido usando Perl Shellbot.

El malware fue distribuido por un grupo de amenazas llamado Outlaw, que pudo dirigirse a dispositivos Linux y Android, y también a sistemas Windows.

"Descubrimos una operación de un grupo de piratería, que denominamos" Outlaw "(traducción derivada de la palabra rumana haiduc, la herramienta de piratería que el grupo utiliza principalmente), que implica el uso de un bot IRC creado con la ayuda de Perl Shellbot. ”Lee el análisis publicado por TrendMicro.

“El grupo distribuye el bot explotando una vulnerabilidad común de inyección de comandos en dispositivos de Internet de las cosas (IoT) y servidores Linux. Investigaciones posteriores indican que la amenaza también puede afectar a los entornos basados ​​en Windows e incluso a los dispositivos Android ". perl shellbot -script-commands-8

En ataques recientes, los piratas informáticos pusieron en peligro los servidores FTP de una institución de arte japonesa y un sitio del gobierno de Bangladesh. Los atacantes vincularon los servidores comprometidos a un clúster de alta disponibilidad para alojar a un portero IRC y controlar la red de bots.

El bot fue distribuido previamente a través de un exploit dirigido a la falla de ShellShock . En octubre, los expertos de IBM observaron que el bot se estaba propagando a través de la vulnerabilidad Drupalgeddon2.

En la última serie de ataques analizados por Trend Micro, los actores de amenazas aprovecharon a hosts previamente obligados por la fuerza bruta para distribuir la amenaza y atacar a los dispositivos Ubuntu y Android.

El análisis del tráfico de comando y control (C&C) permitió a los investigadores de seguridad encontrar la información de los canales IRC y descubrió que en la primera infección había 142 hosts presentes en el canal IRC.

El administrador del canal IRC controla la puerta trasera de Shellbot que puede instruirla para realizar diversas actividades, incluido un escaneo de puertos, varios tipos de denegación de servicio distribuido (DDoS), descargar un archivo y obtener información sobre el sistema infectado.

La cadena de ataque comienza con el malware que ejecuta un comando en el objetivo, para verificar que acepta comandos de la interfaz de línea de comandos (CLI). El código malicioso cambia el directorio de trabajo a "/ tmp" y descarga una carga útil y lo ejecuta con el intérprete de Perl. La carga útil se elimina en el paso final y no queda rastro en el sistema atacado.

"Durante el monitoreo de tráfico, varias identidades como luci, lucian, dragos, mazy, hydra y poseidon fueron descubiertas en los canales de comunicación IRC".

“Estas identidades también se encontraron como nombres de usuario en un servidor japonés comprometido. Este servidor parecía tener cierta importancia, ya que también se usó para distribuir una versión anterior de este N3-Shellbot ".

Los investigadores pudieron obtener descargas de los archivos que utilizaron los actores de amenazas. Los expertos usaron las credenciales de uno de los comandos inyectados en los honeypots, notaron que los contenidos de los archivos a menudo se modificaban en el servidor y que la modificación, eliminación y adición de archivos se realizaban principalmente durante el día en el horario de Europa Central / AEC.

Fecha actualización el 2021-11-07. Fecha publicación el 2018-11-07. Categoría: botnet Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
botnet