Servidores Linux y dispositivos IoT, principales blancos de la botnet Shellbot

Faceless Computer Hacker

Expertos de una firma de ciberseguridad han descubierto un bot IRC apodado Shellbot, construido usando Perl Shellbot

Informes de especialistas en forense digital y ciberseguridad del Instituto Internacional de Seguridad Cibernética afirman que ha sido descubierta una nueva botnet que ataca principalmente a servidores Linux y dispositivos de Internet de las Cosas (IoT) vulnerables. Acorde a los reportes, el malware fue distribuido por un grupo de amenazas llamado Outlaw, e incluso se ha dirigido contra sistemas operativos Windows.

“Descubrimos una operación de un grupo de hacking, que hemos identificado como “Outlaw” (derivado de la palabra rumana ‘haiduc’, la herramienta de hacking que el grupo utiliza principalmente), que implica el uso de un bot IRC creado con la ayuda de Perl Shellbot”, reportan los expertos en forense digital en su reporte de seguridad.

“El grupo distribuye el bot explotando una vulnerabilidad común de inyección de comandos en dispositivos de Internet de las cosas (IoT) y servidores Linux. Investigaciones posteriores indican que la amenaza también puede afectar a los entornos basados en Windows e incluso a los dispositivos Android”, continua el reporte de los expertos.

En ataques recientes, los hackers comprometieron los servidores FTP de una institución de arte japonesa y un sitio del gobierno de Bangladesh. Los atacantes vincularon los servidores comprometidos a un clúster de alta disponibilidad para alojar a un portero IRC y controlar la botnet. El bot había sido distribuido anteriormente a través de un exploit dirigido a la vulnerabilidad de ShellShock. En octubre, expertos en seguridad informática y forense digital observaron que el bot se estaba propagando a través de la vulnerabilidad Drupalgeddon2.

En la última serie de ataques analizados, los hackers aprovecharon a hosts previamente atacados con fuerza bruta para distribuir la amenaza y apuntar a dispositivos Ubuntu y Android.

El análisis del tráfico de comando y control (C&C) permitió a los investigadores de seguridad encontrar la información de los canales IRC y descubrió que en la primera infección había 142 hosts presentes en el canal IRC.

El administrador del canal IRC controla el backdoor de Shellbot, que puede indicarle que realice varias actividades, incluido un escaneo de puertos, varios tipos de denegación de servicio (DDoS), descarga de archivos y obtener información sobre el sistema infectado.

La cadena de ataque comienza con el malware que ejecuta un comando en el sistema objetivo, para verificar que acepta comandos de la interfaz de línea de comandos (CLI). El código malicioso cambia el directorio de trabajo a “/ tmp” y descarga una carga útil y lo ejecuta con el intérprete de Perl. La carga útil se elimina en el paso final y no queda rastro en el sistema atacado.

Los investigadores pudieron obtener descargas de los archivos que utilizaron los actores de amenazas. Los expertos usaron las credenciales de uno de los comandos inyectados en los honeypots, notando que los contenidos de los archivos a menudo se modificaban en el servidor y que la modificación, eliminación y adición de archivos se realizaban principalmente durante el día y las primeras horas de la tarde en el horario de Europa Central.