wmtech logo

El nuevo botnet «Goldoon» apunta a routers D-Link con una falla de hace una década

Luis Quiles
Luis Quiles
router
Vulnerabilidad

Se ha observado un botnet nunca antes visto llamado Goldoon que tiene como objetivo los routers D-Link con una falla de seguridad crítica de casi una década de antigüedad con el objetivo de utilizar los dispositivos comprometidos para realizar ataques adicionales.

La vulnerabilidad en cuestión es CVE-2015-2051 (puntuación CVSS: 9.8), que afecta a los routers D-Link DIR-645 y permite a los atacantes remotos ejecutar comandos arbitrarios mediante solicitudes HTTP especialmente diseñadas.

«Si un dispositivo objetivo está comprometido, los atacantes pueden obtener control completo, lo que les permite extraer información del sistema, establecer comunicación con un servidor C2 y luego utilizar estos dispositivos para lanzar ataques adicionales, como ataques de denegación de servicio distribuido (DDoS)», dijeron los investigadores de Fortinet FortiGuard Labs, Cara Lin y Vincent Li.

Los datos de telemetría de la empresa de seguridad de red señalan un aumento en la actividad del botnet alrededor del 9 de abril de 2024.

Todo comienza con la explotación de CVE-2015-2051 para recuperar un script de descargador de un servidor remoto, que es responsable de descargar la carga útil de la siguiente etapa para diferentes arquitecturas de sistema Linux, incluidas aarch64, arm, i686, m68k, mips64, mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha y PA-RISC.

La carga útil se lanza posteriormente en el dispositivo comprometido y actúa como un descargador del malware Goldoon desde un punto final remoto, después de lo cual el descargador elimina el archivo ejecutado y luego se borra a sí mismo en un intento de cubrir el rastro y pasar desapercibido.

Cualquier intento de acceder directamente al punto final a través de un navegador web muestra el mensaje de error: «Lo siento, eres un agente del FBI y no podemos ayudarte 🙁 ¡Vete o te mataré :)»

Además de establecer persistencia en el host mediante varios métodos de autorun, Goldoon establece contacto con un servidor de comando y control (C2) para esperar órdenes para acciones de seguimiento.

Esto incluye un «asombroso 27 métodos diferentes» para llevar a cabo ataques de inundación DDoS utilizando varios protocolos como DNS, HTTP, ICMP, TCP y UDP.

«Aunque CVE-2015-2051 no es una vulnerabilidad nueva y presenta una complejidad de ataque baja, tiene un impacto de seguridad crítico que puede conducir a la ejecución remota de código», dijeron los investigadores.

Este desarrollo ocurre mientras los botnets continúan evolucionando y explotando tantos dispositivos como sea posible, incluso cuando tanto los ciberdelincuentes como los actores de amenazas persistentes avanzadas (APT) han demostrado un interés en los routers comprometidos para usarlos como capa de anonimización.

«Los ciberdelincuentes alquilan routers comprometidos a otros criminales, y lo más probable es que también los pongan a disposición de proveedores comerciales de proxy residencial», dijo la empresa de ciberseguridad Trend Micro en un informe.

«Actores de amenazas estatales como Sandworm utilizaron sus propios botnets de proxy dedicados, mientras que el grupo APT Pawn Storm tenía acceso a un botnet de proxy criminal de Ubiquiti EdgeRouters».

ttp

Al utilizar los routers hackeados como proxies, el objetivo es ocultar rastros de su presencia y hacer que la detección de actividades maliciosas sea más difícil al mezclar su actividad con el tráfico normal benigno.

A principios de febrero, el gobierno de Estados Unidos tomó medidas para desmantelar partes de un botnet llamado MooBot que, entre otros dispositivos expuestos a Internet como Raspberry Pi y servidores VPS, principalmente aprovechaba los Ubiquiti EdgeRouters.

Trend Micro dijo que observó que los routers se utilizaban para diferentes propósitos, como fuerza bruta de Secure Shell (SSH), spam farmacéutico, empleo de reflectores de servidor de mensajes (SMB) en ataques de relevo de hash NTLMv2, proxy de credenciales robadas en sitios de phishing, proxy multipropósito, minería de criptomonedas y envío de correos electrónicos de spear phishing.

Los routers de Ubiquiti también han sido objeto de ataques por parte de otro actor de amenazas que infecta estos dispositivos con un malware denominado Ngioweb, que luego se utilizan como nodos de salida en un botnet de proxy residencial disponible comercialmente.

Los hallazgos subrayan aún más el uso de diversas familias de malware para controlar los routers en una red que los actores de amenazas podrían controlar, convirtiéndolos efectivamente en puestos de escucha encubiertos capaces de monitorear todo el tráfico de la red.

«Los routers de Internet siguen siendo un activo popular para que los actores de amenazas los comprometan, ya que a menudo tienen una supervisión de seguridad reducida, políticas de contraseña menos estrictas, no se actualizan con frecuencia y pueden usar sistemas operativos potentes que permiten la instalación de malware como mineros de criptomonedas, proxies, malware de denegación de servicio distribuido (DDoS), scripts maliciosos y servidores web», dijo Trend Micro.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.