Threat Database Botnets Tsunami Botnet

Tsunami Botnet

Um botnet recentemente estabelecido chamado Tsunami está passando por um rápido desenvolvimento, com pesquisadores da Infosec observando um aumento considerável em suas habilidades em um curto período de tempo. Quando a atividade do botnet foi detectada pela primeira vez, ele implantou uma carga que consiste em uma variante do cripto-minerador XMR Monero. Como um vetor de compromisso, ele explorou sistemas Docker API configurados incorretamente. Ambos os aspectos do botnet foram modificados significativamente na versão mais recente.

Os hackers responsáveis por desencadear o botnet trocaram o vetor de ataque e agora o Tsunami se propaga através de uma vulnerabilidade do WebLogic. Em particular, ele explora a vulnerabilidade CVE-2020-14882, que recebeu uma classificação de gravidade de 9,8 em 10. Em outubro de 2020, a Oracle publicou um patch que aborda o problema, mas muitos alvos não foram corrigidos e permanecem expostos a ataques. O número de cargas de malware entregues pelo botnet dobrou com a inclusão de binários do Tsunami, além das variantes de cripto-minerador XMR previamente observadas. Para propagação lateral na rede comprometida, ele usa o SecureShell enumerando usuários, chaves, hosts e portas ssh. Os pesquisadores da Infosec que analisaram o código subjacente do malware descobriram duas seções de código não utilizado. Um é dedicado a explorar o Redis, enquanto o outro pode tentar a força bruta do SecyreShell. Outra funcionalidade adicionada ao malware é a capacidade de encerrar soluções de segurança e ferramentas de monitoramento específicas. Ele também pode encerrar os processos em execução de quaisquer ferramentas de mineração potencialmente concorrentes que já possam ter sido implantadas no alvo comprometido por outros agentes de ameaça.

Durante sua cadeia de ataque em vários estágios, o botnet fornece vários scripts de shell .xms e um número ainda maior de scripts Python. Em geral, os scripts de shell têm a tarefa de preparar o ambiente para a entrega das cargas de malware. Eles realizam as rotinas de encerramento do processo, desinstalam certas soluções de defesa de endpoint e conduzem o movimento lateral SSH tentando infectar hosts com os quais o servidor entrou em contato anteriormente. Os scripts .xms também estabelecem o mecanismo de persistência da ameaça alavancando cronjobs, que baixam e executam os scripts shell e os scripts Python em intervalos predeterminados - 1 minuto, 2 minutos, 3 minutos, 30 minutos e a cada hora. /etc/init.d/down também é sobrescrito, garantindo a persistência a cada inicialização do sistema.

Por outro lado, os scripts Python são os veículos que implantam as cargas de malware do botnet. Com quatro scripts no total, eles podem ser separados em dois grupos distintos. O primeiro grupo implantado é o do cripto-minerador XMRig Monero. Ele também estabelece seu próprio mecanismo de persistência por meio do cron antes de iniciar o segundo grupo de scripts. Nesse estágio, os binários do Tsunami são buscados e inicializados no alvo.

O rápido desenvolvimento do botnet combinado com a descoberta de funcionalidades não utilizadas que podem ser ativadas a qualquer momento demonstra a capacidade dos cibercriminosos de se adaptar e modificar suas ferramentas de malware rapidamente.

Tendendo

Mais visto

Carregando...