Botnets ATACAM dispositivos IoT
23 de Janeiro de 2025

Atacantes estão explorando uma vulnerabilidade zero-day não especificada nos roteadores cnPilot da Cambium Networks para implantar uma variante do botnet AISURU, chamada AIRASHI, com o intuito de realizar ataques de negação de serviço distribuído (DDoS).

Conforme informações do QiAnXin XLab, esses ataques têm aproveitado a falha de segurança desde junho de 2024.

Detalhes adicionais sobre as vulnerabilidades foram retidos para prevenir abusos futuros.

Algumas das outras falhas exploradas pelo botnet de DDoS incluem CVE-2013-3307, CVE-2016-20016 , CVE-2017-5259 , CVE-2018-14558 , CVE-2020-25499 , CVE-2020-8515 , CVE-2022-3573 , CVE-2022-40005 , CVE-2022-44149 , CVE-2023-28771 , além daquelas que afetam câmeras IP AVTECH, DVRs LILIN e dispositivos da Shenzhen TVT.

"O operador do AIRASHI vem publicando os resultados de seus testes de capacidade DDoS no Telegram," disse o XLab.

A partir de dados históricos, pode-se observar que a capacidade de ataque do botnet AIRASHI se mantém estável em torno de 1-3 Tbps.

A maioria dos dispositivos comprometidos está localizada no Brasil, Rússia, Vietnã e Indonésia, com China, Estados Unidos, Polônia e Rússia se tornando os principais alvos do enxame malicioso.

AIRASHI é uma variante do botnet AISURU (também conhecido como NAKOTNE) que foi previamente identificado pela empresa de cibersegurança em agosto de 2024, em conexão com um ataque DDoS direcionado ao Steam, coincidindo com o lançamento do jogo Black Myth: Wukong.

Um botnet frequentemente atualizado, variações selecionadas do AIRASHI também foram encontradas incorporando funcionalidade de proxyware, indicando que os atores da ameaça pretendem expandir seus serviços para além de facilitar ataques DDoS.

Diz-se que o AISURU suspendeu temporariamente suas atividades de ataque em setembro de 2024, apenas para reaparecer um mês depois com recursos atualizados (apelidados de kitty) e renovado novamente no final de novembro (conhecido como AIRASHI).

"A amostra kitty começou a se espalhar no início de outubro de 2024," observou o XLab.

Comparada às amostras AISURU anteriores, simplificou o protocolo de rede.

Até o final de outubro, começou a usar proxies SOCKS5 para se comunicar com o servidor C2. Por outro lado, AIRASHI vem em pelo menos dois sabores diferentes:

AIRASHI-DDoS (detectado pela primeira vez no final de outubro), que se concentra principalmente em ataques DDoS, mas também suporta execução de comandos arbitrários e acesso a shell reverso
AIRASHI-Proxy (detectado pela primeira vez no início de dezembro), que é uma versão modificada do AIRASHI-DDoS com funcionalidade de proxy

O botnet, além de continuar ajustando seus métodos para obter os detalhes do servidor C2 via consultas DNS, depende de um protocolo de rede completamente novo que envolve algoritmos HMAC-SHA256 e CHACHA20 para comunicação.

Além disso, AIRASHI-DDoS suporta 13 tipos de mensagens, enquanto AIRASHI-Proxy suporta apenas cinco tipos de mensagens.

Os achados mostram que atores maliciosos continuam explorando vulnerabilidades em dispositivos IoT tanto como um vetor de acesso inicial quanto para construir botnets que os usam para reforçar ataques DDoS poderosos.

Esse desenvolvimento surge enquanto o QiAnXin lança luz sobre um backdoor multiplataforma chamado alphatronBot que tem como alvo o governo chinês e empresas para inscrever sistemas Windows e Linux infectados em um botnet.

Ativo desde o início de 2023, o malware adotou um aplicativo legítimo de chat peer-to-peer (P2P) de código aberto chamado PeerChat para se comunicar com outros nós infectados.

A natureza descentralizada do protocolo P2P significa que um atacante pode emitir comandos através de qualquer um dos nós comprometidos sem a necessidade de roteá-los através de um único servidor C2, tornando o botnet muito mais resistente a desativações.

"As 700+ redes P2P incorporadas ao backdoor consistem em componentes de dispositivos de rede infectados de 80 países e territórios," disse a empresa.

Os nós envolvem roteadores MikroTik, câmeras Hikvision, servidores VPS, roteadores DLink, dispositivos CPE, etc. No ano passado, o XLab também detalhou uma estrutura de entrega de payload sofisticada e furtiva, codinomeada DarkCracks, que explora sites GLPI e WordPress comprometidos para funcionar como downloaders e servidores C2.

"Seus principais objetivos são coletar informações sensíveis de dispositivos infectados, manter acesso de longo prazo e usar os dispositivos comprometidos, estáveis ​​e de alta performance como nós de retransmissão para controlar outros dispositivos ou entregar payloads maliciosas, efetivamente ofuscando a pegada do atacante," disse.

Os sistemas comprometidos foram encontrados pertencem a infraestruturas críticas em diferentes países, incluindo sites escolares, sistemas de transporte público e sistemas de visitantes de prisões.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...