Entre janeiro e março de 2023, várias botnets de malware ativamente direcionaram vulnerabilidades em Cacti e Realtek, espalhando malwares ShellBot e Moobot.
As falhas específicas foram
CVE-2021-35394
, uma vulnerabilidade crítica de execução remota de código no Realtek Jungle SDK, e
CVE-2022-46169
, uma falha crítica de injeção de comando na ferramenta de monitoramento de gerenciamento de falhas Cacti.
Ambas as falhas foram exploradas por outros malwares de botnet no passado, incluindo Fodcha, RedGoBot, Mirai, Gafgyt e Mozi.
O volume da atividade maliciosa em 2023 é significativo, direcionando dispositivos de rede expostos para se alistar em enxames de DDoS (negação distribuída de serviço).
Embora o relatório da Fortinet não afirme explicitamente se os mesmos atores de ameaças espalharam Moobot e ShellBot, foram observados payloads explorando as mesmas falhas em surtos de ataque sobrepostos.
Moobot, uma variante do Mirai, foi descoberto pela primeira vez em dezembro de 2021, direcionando câmeras Hikvision.
Em setembro de 2022, foi atualizado para direcionar várias falhas de RCE D-Link.
Atualmente, direciona
CVE-2021-35394
e
CVE-2022-46169
para infectar hosts vulneráveis, em seguida, baixa um script contendo sua configuração e estabelece uma conexão com o servidor C2.
Moobot continua a trocar mensagens de batimento cardíaco até reconhecer um comando de entrada, momento em que inicia seu ataque.
Uma característica notável das novas versões do Moobot é sua capacidade de escanear e matar processos de outros bots conhecidos para que possam colher a máxima potência de hardware do host infectado para lançar ataques DDoS.
ShellBot foi visto pela primeira vez em janeiro de 2023 e continua ativo hoje, principalmente direcionando a falha do Cacti.
A Fortinet capturou três variantes de malware, indicando que está sendo ativamente desenvolvido.
A primeira variante estabelece comunicação com o C2 e aguarda a recepção de um dos seguintes comandos.
A segunda variante do ShellBot, que apareceu pela primeira vez em março de 2023 e já conta com centenas de vítimas, apresenta um conjunto muito mais extenso de comandos, como mostrado abaixo.
Curiosamente, o malware apresenta um módulo de aprimoramento de exploração que agrega notícias e avisos públicos de PacketStorm e milw0rm.
A ação recomendada para se defender contra o Mootbot e o ShellBot é usar senhas de administrador fortes e aplicar as atualizações de segurança que corrigem as vulnerabilidades mencionadas.
Se o seu dispositivo não é mais suportado pelo fabricante, ele deve ser substituído por um modelo mais novo para receber atualizações de segurança.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...