Falhas na Realtek e Cacti estão sendo ativamente exploradas por botnets
31 de Março de 2023

Entre janeiro e março de 2023, várias botnets de malware ativamente direcionaram vulnerabilidades em Cacti e Realtek, espalhando malwares ShellBot e Moobot.

As falhas específicas foram CVE-2021-35394 , uma vulnerabilidade crítica de execução remota de código no Realtek Jungle SDK, e CVE-2022-46169 , uma falha crítica de injeção de comando na ferramenta de monitoramento de gerenciamento de falhas Cacti.

Ambas as falhas foram exploradas por outros malwares de botnet no passado, incluindo Fodcha, RedGoBot, Mirai, Gafgyt e Mozi.

O volume da atividade maliciosa em 2023 é significativo, direcionando dispositivos de rede expostos para se alistar em enxames de DDoS (negação distribuída de serviço).

Embora o relatório da Fortinet não afirme explicitamente se os mesmos atores de ameaças espalharam Moobot e ShellBot, foram observados payloads explorando as mesmas falhas em surtos de ataque sobrepostos.

Moobot, uma variante do Mirai, foi descoberto pela primeira vez em dezembro de 2021, direcionando câmeras Hikvision.

Em setembro de 2022, foi atualizado para direcionar várias falhas de RCE D-Link.

Atualmente, direciona CVE-2021-35394 e CVE-2022-46169 para infectar hosts vulneráveis, em seguida, baixa um script contendo sua configuração e estabelece uma conexão com o servidor C2.

Moobot continua a trocar mensagens de batimento cardíaco até reconhecer um comando de entrada, momento em que inicia seu ataque.

Uma característica notável das novas versões do Moobot é sua capacidade de escanear e matar processos de outros bots conhecidos para que possam colher a máxima potência de hardware do host infectado para lançar ataques DDoS.

ShellBot foi visto pela primeira vez em janeiro de 2023 e continua ativo hoje, principalmente direcionando a falha do Cacti.

A Fortinet capturou três variantes de malware, indicando que está sendo ativamente desenvolvido.

A primeira variante estabelece comunicação com o C2 e aguarda a recepção de um dos seguintes comandos.

A segunda variante do ShellBot, que apareceu pela primeira vez em março de 2023 e já conta com centenas de vítimas, apresenta um conjunto muito mais extenso de comandos, como mostrado abaixo.

Curiosamente, o malware apresenta um módulo de aprimoramento de exploração que agrega notícias e avisos públicos de PacketStorm e milw0rm.

A ação recomendada para se defender contra o Mootbot e o ShellBot é usar senhas de administrador fortes e aplicar as atualizações de segurança que corrigem as vulnerabilidades mencionadas.

Se o seu dispositivo não é mais suportado pelo fabricante, ele deve ser substituído por um modelo mais novo para receber atualizações de segurança.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...