Tag: botnet

Una nueva y peligrosa botnet tiene como objetivo cámaras web y enrutadores en todo el mundo

Post author By lisa nichols
Post date January 22, 2025
No Comments on Una nueva y peligrosa botnet tiene como objetivo cámaras web y enrutadores en todo el mundo

[ad_1]

Los investigadores de seguridad han notado una nueva campaña de creación de botnets llamada Murdoc
Sus ataques tienen como objetivo cámaras IP y enrutadores.
Más de 1.000 dispositivos fueron identificados como comprometidos

Los investigadores de ciberseguridad de la unidad de investigación de amenazas de Qualys han observado una nueva operación a gran escala que explota las vulnerabilidades en cámaras IP y enrutadores para construir una botnet.

en un Análisis técnicoQualis dijo que los atacantes estaban explotando principalmente CVE-2017-17215 y CVE-2024-7029, buscando comprometer las cámaras IP AVTECH y los enrutadores Huawei HG532. Los robots son básicamente Mirai, aunque en este caso se llamaron Murdoc.

Murdoch demostró “capacidades mejoradas, explotando vulnerabilidades para comprometer dispositivos y crear botnets ampliadas”, dijo Quallis.

Mirai persevera

La campaña probablemente comenzó en julio de 2024 y hasta ahora ha logrado comprometer 1.370 sistemas. La mayoría de las víctimas se encuentran en Malasia, México, Tailandia, Indonesia y Vietnam.

A través de una red de dispositivos conectados a Internet (bots) bajo su control, los actores maliciosos pueden lanzar ataques distribuidos de denegación de servicio (DDoS) ataques que provocan la caída de sitios web y servicios, interrumpen las operaciones y causan daños financieros y de reputación.

Mirai es una botnet muy popular malware. Creado por tres estudiantes universitarios en los EE. UU.: Paras Jha, Josiah White y Dalton Norman, Mirai saltó a la fama en 2016 después de orquestar un ataque DDoS a gran escala contra Dyn, que temporalmente cerró importantes sitios web, incluidos Netflix y Twitter.

Los creadores publicaron el código fuente en línea, justo antes de su arresto en 2017. Se declararon culpables de usar la botnet para ataques DDoS y otros esquemas.

Si bien las fuerzas del orden continúan atacando e interrumpiendo la botnet, ésta ha demostrado una gran resistencia y continúa activa hasta el día de hoy.

Hace menos de dos semanas, se encontró una variante de Mirai llamada “gayfemboy” que explotaba un error en los enrutadores industriales Four-Faith. Aunque claramente se origina en Mirai, esta nueva versión es muy diferente, ya que abusa de más de 20 vulnerabilidades y apunta a contraseñas Telnet débiles. Algunas vulnerabilidades no se habían visto antes y CVE aún no se ha identificado. Entre ellos se encuentran errores en los enrutadores Neterbit y en los dispositivos domésticos inteligentes Vimar.

También te puede gustar

[ad_2]

Source Article Link

Tags botnet, cámaras, Como, enrutadores, mundo, nueva, objetivo, peligrosa, tiene, todo, una, Web

Featured

La nueva botnet Androxgh0st ataca vulnerabilidades en dispositivos IoT y aplicaciones web a través de la integración de Mozi

[ad_1]

La integración de Androxgh0st con Mozi amplifica los riesgos globales
Las vulnerabilidades de IoT se han convertido en un nuevo campo de batalla para los ciberataques
El monitoreo proactivo es esencial para combatir las amenazas de bots emergentes

Los investigadores identificaron recientemente un desarrollo importante en la botnet Androxgh0st, que se ha vuelto más peligrosa con la integración de las capacidades de la botnet Mozi.

Lo que comenzó como un ataque dirigido a un servidor web a principios de 2024 ahora se ha expandido, lo que permite a Androxgh0st explotar vulnerabilidades en dispositivos IoT. Equipo de investigación de amenazas de CloudSEK Dijo.

Su último informe afirma que la botnet ahora está equipada con técnicas avanzadas de Mozi para infectar y propagarse a través de una amplia gama de dispositivos en red.

Mozi ha vuelto: una infraestructura de botnet unificada

Mozi, anteriormente conocido por infectar dispositivos IoT, por ejemplo cambiamos Se cree que los enrutadores D-Link están inactivos después de un Activa el interruptor de apagado En 2023.

Sin embargo, CloudSEK reveló que Androxgh0st ha integrado las capacidades de implementación de Mozi, amplificando significativamente su capacidad para apuntar a dispositivos IoT.

Al implementar cargas útiles de Mozi, Androxgh0st ahora tiene una infraestructura de botnet unificada que aprovecha tácticas especializadas para comprometer las redes de IoT. Esta integración permite que la botnet se propague de manera más eficiente entre dispositivos vulnerables, incluidos… Enrutadores Y otras tecnologías conectadas, lo que la convierte en una fuerza poderosa.

Junto con su integración con Mozi, Androxgh0st ha ampliado el alcance de las vulnerabilidades específicas, explotando vulnerabilidades en sistemas críticos. El análisis de CloudSEK muestra que Androxgh0st ahora está atacando activamente las principales tecnologías, incluidas Cisco ASA, Atlassian JIRA y varios marcos PHP.

En los sistemas Cisco ASA, una botnet explota las vulnerabilidades de secuencias de comandos entre sitios (XSS) inyectando secuencias de comandos maliciosas a través de parámetros no especificados. También apunta a Atlassian JIRA a través de una vulnerabilidad de recorrido de ruta (CVE-2021-26086), que permite a los atacantes obtener acceso no autorizado a archivos confidenciales. En los marcos PHP, Androxgh0st explota vulnerabilidades heredadas como las de Laravel (CVE-2018-15133) y PHPUnit (CVE-2017-9841), lo que facilita el acceso por puerta trasera a los sistemas comprometidos.

El panorama de amenazas de Androxgh0st no se limita a las vulnerabilidades heredadas. También es capaz de explotar vulnerabilidades recientemente descubiertas, como CVE-2023-1389 en el firmware TP-Link Archer AX21, que permite la ejecución de comandos no autenticados, y CVE-2024-36401 en GeoServer, que es una vulnerabilidad que puede conducir a la ejecución de código. . remoto .

La botnet ahora también utiliza técnicas de relleno de credenciales de fuerza bruta, inyección de comandos e inclusión de archivos para comprometer los sistemas. Aprovechando las tácticas de Mozi centradas en IoT, pudo expandir drásticamente su huella geográfica, propagando la infección por regiones de Asia, Europa y más allá.

CloudSEK recomienda que las organizaciones fortalezcan su postura de seguridad para mitigar posibles ataques. Si bien la aplicación inmediata de parches es esencial, también es importante la supervisión proactiva del tráfico de la red. Al rastrear conexiones salientes sospechosas y detectar intentos de inicio de sesión anómalos, especialmente desde dispositivos IoT, las organizaciones pueden detectar signos tempranos de colaboración Androxgh0st-Mozi.

También te puede gustar

[ad_2]

Source Article Link

Tags Androxgh0st, aplicaciones, ataca, botnet, dispositivos, integración, IoT, Mozi, nueva, través, vulnerabilidades, Web

Featured

Microsoft reveló que una importante red de botnet china está atacando a usuarios de todo el mundo

Post author By lisa nichols
Post date November 1, 2024
No Comments on Microsoft reveló que una importante red de botnet china está atacando a usuarios de todo el mundo

[ad_1]

Para la instalación se utiliza una importante botnet china llamada Quad7. contraseña Ataques con spray contra organizaciones en Occidente, microsoft Lo advirtieron los expertos.

en nuevo un informeEl grupo, llamado Storm-0940, luego usa las contraseñas para demostrar persistencia, robar más credenciales y, en última instancia, participar en ciberataques más devastadores, dicen los investigadores de la compañía.

Microsoft cree que el objetivo final de la campaña es el espionaje, y sus objetivos incluyen grupos de expertos, organizaciones gubernamentales, ONG, bufetes de abogados, bases industriales de defensa y más.

Dirigirse a enrutadores SOHO

“En particular, Microsoft observó al actor de amenazas chino Storm-0940 usando credenciales de CovertNetwork-1658”, dice el informe, y agrega que el grupo tuvo mucho cuidado de no ser detectado.

“En estas campañas, CovertNetwork-1658 ofrece una cantidad muy pequeña de intentos de inicio de sesión en muchas cuentas de una organización específica”, dijo. “En aproximadamente el 80 por ciento de los casos, CovertNetwork-1658 sólo realiza un intento de inicio de sesión por cuenta por día”.

Sin embargo, una vez que se produce un impacto, Storm-0940 se mueve para aplanar aún más el objetivo. De hecho, Microsoft dijo que en algunas ocasiones el hackeo se produjo el mismo día en que se adivinaron las contraseñas. El primer paso de Storm-0940 fue deshacerse de las credenciales e instalar RAT y agentes para la persistencia.

Quad7 es una botnet bastante conocida. A finales de septiembre de 2024, informamos sobre la botnet. Agregue nuevas funciones y amplíe la superficie de ataque. Fue detectado por primera vez por un investigador llamado Gi7w0rm y expertos de Sekoia, cuando solo se observó apuntando a enrutadores TP-Link. Sin embargo, durante las siguientes semanas, la tecnología Quad7 (llamada así por apuntar al puerto 7777) se expandió para incluir enrutadores ASUS y ahora se ha observado en puntos finales Zyxel VPN, enrutadores inalámbricos Ruckus y servidores de medios Axentra.

Los atacantes construyeron la costumbre. malware Aplanar estos puntos finales, apuntando a diferentes grupos. Cada grupo es una variación de *login, y Ruckus, por ejemplo, tiene el grupo “rlogin”. Otros grupos incluyen xlogin, alogin, axlogin y zylogin. Algunas colecciones son relativamente grandes, con miles de dispositivos similares. Otros son más pequeños, con no más de dos infecciones.

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags atacando, botnet, China, está, importante, Microsoft, mundo, Red, reveló, todo, una, usuarios

Featured

Una botnet similar a Mirai está afectando a los dispositivos NAS de Zyxel

Post author By lisa nichols
Post date June 25, 2024
No Comments on Una botnet similar a Mirai está afectando a los dispositivos NAS de Zyxel

[ad_1]

La botnet, sorprendentemente similar a la temible red Mirai, tiene como objetivo Zyxel gente Los casos ya pasaron su fecha de vencimiento, afirma una nueva investigación.

Un informe de Shadowserver, una organización de seguridad que rastrea las amenazas cibernéticas, dice que los actores de amenazas recientemente comenzaron a buscar una de las tres fallas (CVE-2024-29973), una vulnerabilidad de inyección de comandos.

El objetivo parece ser dar cabida a los puntos finales de la botnet.

Redes de bots

En marzo de 2024, los investigadores de ciberseguridad de Outpost24 descubrieron tres vulnerabilidades en los puntos finales de almacenamiento en red de Zyxel: CVE-2024-29973, CVE-2024-29972 y CVE-2024-29974. Los tres tienen una puntuación de gravedad de 9,8 (crítico) y se descubrió que afectaban a NAS326 (versión operativa V5.21(AAZF.16)C0 y anteriores) y NAS542 (versión operativa V5.21(ABAG.13)C0 y anteriores). .

Unos meses más tarde, los actores de amenazas están empezando a apuntar a puntos finales vulnerables.

Una botnet es esencialmente una “red de bots”: puntos finales comprometidos cuya potencia informática y ancho de banda de Internet pueden utilizarse con fines maliciosos.

Las botnets se utilizan habitualmente para la denegación de servicio distribuida (DDoS) ataques, o para prestar ancho de banda y direcciones IP a servicios de proxy residenciales ilegales.

También vale la pena señalar que aunque los dos dispositivos NAS Zyxel llegaron al final de su vida útil, la compañía taiwanesa decidió parchearlos, ya que algunas organizaciones extendieron la garantía de los dispositivos. Por lo tanto, si su organización utiliza estos productos, es aconsejable aplicar los parches inmediatamente.

Además, desconectarlos por completo y reemplazarlos con modelos compatibles más nuevos sería una mejor solución.

Los dispositivos de almacenamiento conectados a la red suelen ser el objetivo de los delincuentes debido a su importancia para la organización y a su frecuente configuración errónea. Además de Zyxel, los actores de amenazas buscan constantemente dispositivos D-Link o QNAP a los que apuntar. De hecho, a principios de abril, se informó que miles de dispositivos NAS D-Link al final de su vida útil presentaban una vulnerabilidad de alto riesgo que permitía a los atacantes ejecutar códigos maliciosos, robar datos confidenciales y lanzar una denegación de servicio (DDoS). ataques).

a través de Registro

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags afectando, botnet, dispositivos, está, Los, Mirai, NAS, similar, una, Zyxel

Featured

Esta botnet maliciosa ha comprometido más de 600.000 enrutadores en un ataque coordinado, pero nadie está realmente seguro de por qué.

[ad_1]

Una botnet maliciosa ha comprometido 600.000 enrutadores de oficinas y oficinas domésticas (SOHO) en lo que parece ser un ataque coordinado contra un proveedor de servicios de Internet (ISP) específico.

Los investigadores de ciberseguridad de Black Lotus Labs de Lumen publicaron recientemente un un informe En la botnet lo llamaron “Pumpkin Eclipse”.

En el informe, los investigadores dijeron que un troyano de acceso remoto (RAT) llamado Chalubo comprometió cientos de miles de enrutadores SOHO, que constan de tres modelos específicos: ActionTec T3200s, ActionTec T3260s y Sagemcom F5380, todos pertenecientes al mismo ISP. . Chalubo arrastró estos enrutadores a una botnet que, entre otras cosas, era capaz de ejecutar ataques distribuidos de denegación de servicio (DDoS).

Reemplazo de hardware

Luego, entre el 25 y el 27 de octubre de 2023, los enrutadores comenzaron a morir. Si bien Black Lotus no nombró al ISP atacado, pitidocomputadora La compañía dijo que el ataque “tiene un parecido sorprendente” con la interrupción de Windstream, ya que sus usuarios comenzaron a informar sobre enrutadores rotos el 25 de octubre.

“He tenido un módem T3200 por un tiempo, pero hoy sucedió algo que nunca antes había experimentado. La luz de Internet está en rojo fijo. ¿Qué significa y cómo puedo solucionarlo?” Muchos Redditors dijeron en ese momento.

Poco después, Windstream se acercó diciendo que los usuarios necesitaban reemplazar sus dispositivos por otros nuevos.

Lo que sigue siendo un misterio es cómo los enrutadores se infectaron con el virus Chalubo para empezar. Aparentemente, los investigadores no pudieron encontrar el punto de acceso inicial, por lo que los atacantes encontraron una vulnerabilidad de día cero o simplemente explotaron enrutadores con credenciales débiles. Sin embargo, casi la mitad (49%) de los enrutadores de ISP quedaron fuera de uso a los pocos días.

Irónicamente, Chalubo no tiene ningún mecanismo de persistencia, por lo que todo lo que se necesitó para desactivar la botnet fue un reinicio físico del enrutador (un simple corte de energía fue suficiente). Sin embargo, si las credenciales del enrutador son débiles, los atacantes pueden restablecer la conexión. En conclusión, es imprescindible tener una contraseña segura en su enrutador.

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags ataque, botnet, comprometido, coordinado, enrutadores, está, maliciosa, más, nadie, pero, por, qué, realmente, seguro

Featured

TP-Link routers are still being bombarded with botnet and malware threats

Post author By lisa nichols
Post date April 19, 2024
No Comments on TP-Link routers are still being bombarded with botnet and malware threats

[ad_1]

More than a year after a patch was released, hackers are still competing to compromise vulnerable TP-Link Wi-Fi routers.

A report from Fortinet claims half a dozen botnet operators are scanning for vulnerable TP-Link Archer AX21 (AX1800) routers after cybersecurity researchers discovered a high-severity unauthenticated command injection flaw in the endpoints early last year.

The vulnerability, tracked as CVE-2023-1389, was patched a few months later, in March 2023.

Working in Russia’s interest

However, a year later, in March 2024, Fortinet discovered that attempts at leveraging this flaw rose beyond 40,000 and up to 50,000 a day. Apparently, multiple groups are doing it at the same time:

“Recently, we observed multiple attacks focusing on this year-old vulnerability, spotlighting botnets like Moobot, Miori, the Golang-based agent “AGoent,” and the Gafgyt Variant”, Fortinet said in its report.

Different Mirai variants, and a botnet named “Condi” have been identified as going after TP-Link routers since the vulnerability was first disclosed.

Mirai is considered one of the largest and most disruptive botnets out there.

Hackers are always on the lookout for vulnerable, internet-connected endpoints, such as smart home devices, smart speakers, routers, computers, and similar. When they find such devices, they infect them with malware that gives them the ability to run certain commands. The most popular use case is Distributed Denial of Service (DDoS) attacks, in which the compromised machines are tasked with sending meaningless traffic towards a single entity.

Due to the sheer number of traffic requests, the entity is unable to process them all – including legitimate traffic – and crashes, hence the name – denial of service.

To make sure your endpoints are not assimilated into a malicious botnet and used in DDoS attacks, apply the latest patches and firmware updates to all internet-connected devices and make sure they’re protected with a strong password.

Via BleepingComputer