Después de haber envenenado la vida de las empresas y haber causado dificultades a los investigadores e investigadores de seguridad de todo el mundo, la botnet Mirai basada en el malware del mismo nombre acabó siendo descifrada a mediados de la década de 2010. Pero como la naturaleza tiene horror al vacío, no hemos tenido que esperar mucho para ver surgir varias variantes en los últimos años, incluida hace unos meses la V3G4 que atacó terminales IoT conectados a servidores Linux. Desafortunadamente, la historia se repite con un último descubrimiento de los investigadores de seguridad de Akamai.

“A finales de octubre de 2023, notamos un ligero aumento en la actividad de nuestros honeypots dirigidos a un puerto TCP poco utilizado. La actividad comenzó con un pequeño impulso, alcanzando un máximo de 20 intentos por día, y luego se redujo a un promedio de dos o tres intentos por día, y algunos días estuvieron completamente desprovistos de intentos”. explicar el proveedor en una publicación de blog. “Hasta el 9 de noviembre de 2023, se desconocían los dispositivos vulnerables a los que apuntaban. Las sondas fueron poco frecuentes y parecieron intentar primero la autenticación mediante una solicitud POST y luego, si tenían éxito, la explotación mediante inyección de comando.

Índice
  1. La variante JenX Mirai del juego.
  2. Correcciones para diciembre

La variante JenX Mirai del juego.

Tras la investigación, Akamai pudo observar la ruta de explotación HTTP específica de esta amenaza asociada con los tipos de puertos y servicios expuestos. “Los primeros puertos y servicios expuestos sugerían compatibilidad con el protocolo de transmisión en tiempo real y ofrecían conexiones de "visor", lo que sugería un dispositivo CCTV/NVR/DVR/cámara de seguridad. En algunos casos, los dispositivos encontrados en la naturaleza con HTTPS habilitado filtraron información adicional de la línea de asunto del certificado HTTPS que nos dirigió a un dominio específico, que rastreamos hasta un fabricante de NVR. .

"Esta actividad proviene de un grupo de botnets Mirai que parece utilizar principalmente la variante de malware JenX Mirai más antigua, que se hizo famosa por el uso de Grand Theft Auto para registrar dispositivos IoT para ejecutar comandos maliciosos", explica el proveedor. Dijo que se han identificado muchos dominios de comando y control (C2) que tienen superposiciones en la resolución de direcciones IP, así como las mismas fechas para cambios de infraestructura, que respaldan este enlace. "Al examinar los nuevos ataques que distribuyeron estas muestras de malware, identificamos un segundo exploit de día cero que también se explota como parte de esta campaña", advirtió también Akamai.

Correcciones para diciembre

Por el momento, el proveedor no ha proporcionado información sobre los enrutadores y grabadores de vídeo en red afectados, pero indica que sus fabricantes han sido notificados y que las soluciones se implementarán el próximo mes. En total, según Akamai, alrededor de un centenar de productos y dispositivos NVR se ven afectados.