botnet-iot-telnet.jpg

Botnet mira gateways de rede da Netgear, Huawei e ZTE

Pesquisadores de segurança alertam que o Mozi agora permite que persistência em gateways de rede desses fabricantes
Da Redação
25/08/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Pesquisadores de segurança da Microsoft alertam que a botnet Mozi foi atualizada por seus operadores, de maneira que agora o malware consegue persistência em gateways de rede fabricados pela Netgear, Huawei e ZTE. Segundo os pesquisadores, o Mozi toma ações específicas para aumentar as chances de sobrevivência após a reinicialização ou qualquer outra tentativa de outro malware ou correspondente interferir em sua operação.

A Microsoft não informa se já foram observados ataques do Mozi atualizado. Mas a empresa, para atenuar os riscos, recomenda o uso de senhas fortes e que os dispositivos sejam mantidos com os patches adequados. “Isso reduzirá as superfícies de ataque alavancadas pela botnet e impedirá que invasores se posicionem de forma que possam usar a persistência recém-descoberta e outras técnicas de exploração”, dizem os pesquisadores.

O Mozi é uma botnet ponto a ponto que usa uma rede semelhante ao BitTorrent para infectar dispositivos conectados, variando de gateways de rede a gravadores de vídeo digital (DVRs – Digital Video Recorders). O malware obtém acesso explorando senhas telnet fracas ou vulnerabilidades de IoT não corrigidas. O Mozi é usado principalmente para conduzir ataques distribuídos de negação de serviço (DDoS), mas também pode ser usado para oferecer suporte à exfiltração de dados e execução de carga útil.

Novos recursos do Mozi

O malware agora toma medidas para aumentar as chances de sobrevivência ao atingir os gateways Netgear, Huawei e ZTE, alcançando persistência privilegiada, diz a Microsoft. Para conseguir fazer isso, ele verifica especificamente a existência do folder overlay. Se não for encontrado, o malware tentará explorar a falha CVE-2015-1328, dizem os pesquisadores.

O malware também foi ajustado para fazer uma verificação específica nos roteadores e gateways ZTE e Huawei, diz a Microsoft. Em dispositivos ZTE, o Mozi procura a existência do folder /usr/local/ct, já que ele serve como um indicador de que o dispositivo é um modem/roteador ZTE. Ele então copia suas instâncias em /usr/local/ct /ctadmin0 para fornecer persistência.

Veja isso
Exploits do Exchange agora são usados por botnet para minerar criptomoeda
Ataque está recrutando máquinas Linux para IRC botnets

Em dispositivos Huawei, o Mozi insere vários comandos para alterar a senha e desativa o servidor de gerenciamento para dispositivos de modem/roteador Huawei. Ao alterar as credenciais de login, ele evita que as equipes de segurança recuperem o acesso ao dispositivo por meio do servidor de gerenciamento, afirmam os pesquisadores.

Os criadores do malware também melhoraram a sua capacidade de falsificação de DNS. Agora, cada solicitação de DNS é respondida com o IP falsificado, que os pesquisadores da Microsoft dizem ser uma técnica eficiente para redirecionar o tráfego para a infraestrutura dos invasores.

Os gateways de rede são valorizados por invasores porque são úteis como um ponto de acesso inicial para uma rede corporativa. Eles geralmente procuram um dispositivo vulnerável usando ferramentas de varredura, como o Shodan. Uma vez que um dispositivo vulnerável é infectado, o malware realiza o reconhecimento em dispositivos vizinhos e então se move lateralmente para comprometer alvos de maior valor, incluindo sistemas de informação e sistemas industriais críticos de TI/OT.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest