Wormable Gitpaste-12 Botnet regresa a los servidores Linux

Una nueva botnet con gusanos que se propaga a través de GitHub y Pastebin para instalar mineros de criptomonedas y backdoor en los sistemas de destino ha regresado con capacidades ampliadas para comprometer aplicaciones web, cámaras IP y enrutadores.

A principios del mes pasado, los investigadores de Juniper Threat Labs documentaron una campaña de minería de cifrado llamada » Gitpaste-12 «, que utilizaba GitHub para alojar código malicioso que contenía hasta 12 módulos de ataque conocidos que se ejecutan mediante comandos descargados de una URL de Pastebin.

Los ataques ocurrieron durante un período de 12 días a partir del 15 de octubre de 2020, antes de que tanto la URL de Pastebin como el repositorio se cerraran el 30 de octubre de 2020.

Ahora, según Juniper, la segunda ola de ataques comenzó el 10 de noviembre utilizando cargas útiles de un repositorio de GitHub diferente, que, entre otros, contiene un cripto-minero de Linux («ls»), un archivo con una lista de contraseñas para fuerza bruta. intentos («pasar») y un exploit de escalamiento de privilegios local para sistemas Linux x86_64.

La infección inicial ocurre a través de X10-unix, un binario escrito en el lenguaje de programación Go, que procede a descargar las cargas útiles de la siguiente etapa desde GitHub.

«El gusano lleva a cabo una amplia serie de ataques dirigidos a aplicaciones web, cámaras IP, enrutadores y más, que comprenden al menos 31 vulnerabilidades conocidas, siete de las cuales también se observaron en la muestra anterior de Gitpaste-12, así como intentos de comprometer la apertura Conexiones de Android Debug Bridge y puertas traseras de malware existentes «, señaló el investigador de Juniper, Asher Langton, en un análisis del lunes.

En la lista de 31 vulnerabilidades se incluyen fallas de código remoto en la interfaz de usuario de administración de tráfico F5 BIG-IP (CVE-2020-5902), Pi-hole Web (CVE-2020-8816), Tenda AC15 AC1900 (CVE-2020-10987) y vBulletin (CVE-2020-17496), y un error de inyección SQL en FUEL CMS (CVE-2020-17463), todos los cuales salieron a la luz este año.

Vale la pena señalar que Ttint , una nueva variante de la botnet Mirai, se observó en octubre utilizando dos vulnerabilidades de día cero del enrutador Tenda, incluida CVE-2020-10987, para propagar un troyano de acceso remoto (RAT) capaz de llevar a cabo la denegación de -servicio de ataques, ejecutar comandos maliciosos e implementar un shell inverso para acceso remoto.

Además de instalar X10-unix y el software de minería criptográfica Monero en la máquina, el malware también abre una puerta trasera que escucha en los puertos 30004 y 30006, carga la dirección IP externa de la víctima en una pasta Pastebin privada e intenta conectarse a las conexiones de Android Debug Bridge. en el puerto 5555.

En una conexión exitosa, procede a descargar un archivo APK de Android («weixin.apk») que finalmente instala una versión ARM CPU de X10-unix.

En total, se han detectado al menos 100 huéspedes distintos propagando la infección, según estimaciones de Juniper.