Abcbot: un nuevo malware Wormable en evolución dirigido a Linux

09:51 16/11/2021 | 5 Lượt xem

malware de botnet

Investigadores del equipo de seguridad Netlab de Qihoo 360 han publicado detalles de una nueva botnet en evolución llamada “Abcbot”, que se ha observado con capacidades de propagación similares a gusanos para infectar sistemas Linux y lanzar ataques distribuidos de denegación de servicio (DDoS) contra objetivos.

Aunque la versión más antigua de la botnet se remonta a julio de 2021, las nuevas variantes vistas recientemente el 30 de octubre han sido equipadas con actualizaciones adicionales para atacar servidores web Linux con contraseñas débiles y son susceptibles a vulnerabilidades de N días, incluida una implementación personalizada de la funcionalidad DDoS. , lo que indica que el malware está en continuo desarrollo.

Los hallazgos de Netlab también se basan en un informe de Trend Micro a principios de este mes que lanzó ataques dirigidos a la nube de Huawei con malware de minería de criptomonedas y criptomonedas. Los hacks también fueron notables porque los scripts de shell maliciosos deshabilitaron específicamente un proceso diseñado para monitorear y verificar los servidores en busca de problemas de seguridad, así como restablecer las contraseñas de los usuarios para el servicio de nube elástica.

Copias de seguridad automáticas de GitHub

Ahora, según la empresa china de seguridad en Internet, estos scripts de shell se utilizan para publicitar Abcbot. Hasta ahora se han observado un total de seis versiones de botnets.

Una vez instalado en un host comprometido, el malware desencadena la ejecución de una serie de pasos que dan como resultado que el dispositivo infectado sea reutilizado como servidor web, además de reportar información del sistema a un servidor de comando y control (C2), propagando el malware por nuevos dispositivos que escanean puertos abiertos y se actualizan automáticamente a medida que sus operadores disponen de nuevas funciones.

malware de botnet

“Lo interesante es que la muestra [updated] el 21 de octubre utiliza el ATK Rootkit de código abierto para implementar la función DDoS, “un mecanismo que los investigadores dijeron” requiere que Abcbot descargue el código fuente, compile y cargue el módulo rootkit antes de ejecutar [a] Ataque DDoS. “

“Este proceso requiere muchos pasos, y cualquier paso fallido resultará en la falla de la función DDoS”, señalaron los investigadores, lo que llevó al adversario a reemplazar el componente estándar con un módulo de ataque personalizado en una versión posterior lanzada el octubre. .30 que abandona por completo el rootkit ATK.

Evite las filtraciones de datos

Los descubrimientos se produjeron poco más de una semana después de que el equipo de seguridad de Netlab revelara los detalles de una botnet “rosa” que puede haber infectado a más de 1,6 millones de dispositivos ubicados principalmente en China con el objetivo de lanzar DDoS e incrustar anuncios de ataques en sitios HTTP visitados por comerciales desprevenidos. . En un desarrollo relacionado, AT&T Alien Labs eliminó un nuevo malware de Golang denominado “BotenaGo”, que se descubrió utilizando más de treinta exploits para atacar potencialmente millones de enrutadores y dispositivos de IoT.

“El proceso de actualización durante estos seis meses no es tanto una actualización continua de funciones, sino una compensación entre diferentes tecnologías”, concluyeron los investigadores. “Abcbot está pasando lentamente de la infancia a la madurez. No consideramos esta etapa como la forma final, obviamente hay muchas áreas de mejora o características por desarrollar en esta etapa”.

Related Posts

lên đầu trang