Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Botnets Botnet Gitpaste-12

Botnet Gitpaste-12

Por GoldSparrow em Botnets
Traduzir Para:
Português

O Gitpaste-12 é um botnet e uma ameaça de worm extremamente sofisticada que foi equipada com uma ampla gama de recursos de ameaça. O nome Gitpaste-12 foi derivado do fato de que certos componentes da ameaça eram hospedados em serviços legítimos, como GitHub e Pastebin. O número 12 denota os 12 vetores de ataque diferentes explorados pelo worm - 11 vulnerabilidades e uma função de força bruta do telnet. Duas das vulnerabilidades têm como alvo o Apache Struts e o MongoDB, dois componentes de código aberto amplamente usados. O malware é projetado para infectar servidores x86 baseados em Linux e dispositivos Linux ARM e MIPS de Internet das Coisas (IoT).

O fato da carga útil principal do Gitpaste-12 Botnet estar hospedada em sites genuínos como GitHub e Pastebin torna muito mais difícil bloquear a infraestrutura de Comando e Controle (C2, C&C) do malware na rede comprometida. Deve-se observar que o Gitpaste-12 esteve presente no Github por vários meses, começando em julho de 2020, mas foi removido após ser descoberto pelos pesquisadores do Juniper Threat Labs. Embora isso interrompa a propagação do botnet efetivamente, os hackers podem estabelecer sua infraestrutura C2 em outro lugar, uma possibilidade que é muito provável devido ao Gitpaste-12 estar em desenvolvimento ativo, como evidenciado por vários fatores.

Uma vez dentro do dispositivo visado, o Gitpaste-12 termina várias camadas de medidas de proteção anti-malware. Ele desativa as regras de firewall, apparmor, selinux, etc. Em seguida, permite que os hackers executem comandos shell reversos usando as portas TCP 30004 e 30005, conforme observado em alguns dos sistemas infectados. Gitpaste-12 tem diferentes módulos responsáveis por liberar um minerador de criptomoeda Monero nos dispositivos comprometidos, executando um script baseado no Telnet para ataques de força bruta contra servidores Linux e dispositivos IoT, um mecanismo de persistência por meio de cronjob, etc. O worm pode se propagar e infecte outras máquinas escolhendo um CIDR/8 aleatório e tentando todos os endereços dentro desse intervalo.

Tendendo

Mais visto

Carregando...