Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Botnets AIRASHI Botnet

AIRASHI Botnet

El Mezo el Botnets, Programari maliciós
Traduir a:
Català

Una vulnerabilitat de dia zero als encaminadors cnPilot de Cambium Networks s'ha convertit en l'última eina per als ciberdelinqüents que despleguen una variant de botnet AISURU coneguda com AIRASHI. Aquesta campanya, activa des del juny de 2024, aprofita el defecte per orquestrar potents atacs de denegació de servei distribuït (DDoS). Els investigadors de seguretat han ocultat detalls sobre la vulnerabilitat per limitar-ne el mal ús mentre les investigacions estan en curs.

Una història de vulnerabilitats explotades

La botnet AIRASHI no es limita a un sol vector d'atac. Arma una sèrie de vulnerabilitats, com ara CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-352022 CVE-2022-40005, CVE-2022-44149, CVE-2023-287 i altres defectes trobats a les càmeres IP AVTECH, els DVR LILIN i els dispositius Shenzhen TVT. Aprofitant aquest ampli espectre de debilitats, AIRASHI continua augmentant el seu abast i la seva sofisticació.

Capacitats d'atac DDoS: una mirada més propera

Els operadors que hi ha darrere d'AIRASHI no són tímids per les seves activitats, i publiquen els resultats de les proves de les capacitats DDoS de la seva botnet a Telegram. Les dades històriques revelen que la seva capacitat d'atac s'estabilitza al voltant d'1-3 Tbps. Geogràficament, la majoria dels dispositius compromesos es troben al Brasil, Rússia, Vietnam i Indonèsia. Tanmateix, els objectius es concentren a regions com la Xina, els Estats Units, Polònia i Rússia, on les operacions perjudicials de la botnet han causat més interrupcions.

L'evolució d'AISURU a AIRASHI

AIRASHI prové de la botnet AISURU, que es va identificar prèviament l'agost de 2024 durant un atac DDoS d'alt perfil a Steam, que va coincidir amb el llançament del joc Black Myth: Wukong. Després d'aturar temporalment les seves operacions el setembre de 2024, la botnet va tornar a sorgir amb funcions actualitzades amb el nom en clau "kitty" i es va renovar encara més com a AIRASHI al novembre.

Una botnet de doble propòsit: AIRASHI-DDoS i AIRASHI-Proxy

AIRASHI opera de dues formes diferents:

  • AIRASHI-DDoS : detectada a finals d'octubre de 2024, aquesta variant se centra en els atacs DDoS, però amplia les seves capacitats per incloure l'execució d'ordres arbitràries i l'accés invers del shell.
  • AIRASHI-Proxy : presentada el desembre de 2024, aquesta variació afegeix una funcionalitat de proxy, cosa que indica una diversificació de serveis més enllà de les operacions DDoS.

Avançar la comunicació i el xifratge

Per garantir operacions segures i eficients, AIRASHI utilitza un nou protocol de xarxa que aprofita els algorismes de xifratge HMAC-SHA256 i CHACHA20. Tot i que AIRASHI-DDoS admet 13 tipus de missatges diferents, AIRASHI-Proxy utilitza un enfocament més racionalitzat amb cinc. A més, la botnet ajusta dinàmicament els seus mètodes per recuperar els detalls del servidor d'ordres i control (C2) mitjançant consultes DNS.

Botnets i dispositius IoT: una amenaça cibernètica persistent

Les troballes posen de manifest l'explotació persistent dels cibercriminals de les vulnerabilitats dels dispositius IoT. Els dispositius IoT serveixen tant com a punt d'entrada per a mals actors com com a base per a la creació de botnets robustes. Aprofitant aquests dispositius compromesos, els actors de les amenaces amplien el poder dels atacs DDoS, mostrant la necessitat crítica de millorar la seguretat dels dispositius a l'ecosistema IoT.

Tendència

Més vist

Carregant...