Los investigadores de seguridad cibernética han llamado la atención a las campañas de malware que se dirigen a los defectos de seguridad de la grabadora de video digital TBK (DVR) y cuatro enrutadores de fe, colocando los dispositivos a una nueva botnet llamada Rondodox.
Las vulnerabilidades en cuestión incluyen CVE-2024-3721, una vulnerabilidad de inyección de comandos moderadamente radical que afecta a TBK DVR-4104 y DVR-4216 DVRS y CVE-2024-12856, un error de inyección de comandos de comandos del sistema operativo que afecta los modelos de 4 festores F3X24 y F3X36.
Muchos de estos dispositivos se instalan en entornos críticos, como tiendas minoristas, almacenes y oficinas pequeñas, y no han sido monitoreados durante muchos años. Los convierte en un objetivo ideal: es fácil de explotar, difícil de detectar, y generalmente está expuesto directamente a Internet a través de un firmware obsoleto o puertos incomprendidos.
Vale la pena señalar que los actores de amenaza han armado repetidamente los tres fallas de seguridad en los últimos meses para desplegar varias variantes de botnet de Mirai.
«Ambos (defectos de seguridad) están expuestos públicamente y están dirigidos activamente, plantea graves riesgos para la seguridad general de los dispositivos y la integridad de la red», dijo Vincent Li, investigador de Fortinet Fortiguard Labs.
La compañía de seguridad cibernética dijo que identificó por primera vez los binarios Elfos de Rondo Dox en septiembre de 2024, permitiendo que el malware imita el tráfico desde plataformas de juegos o servidores VPN que vuelan bajo el radar.
No es solo la adquisición del dispositivo lo que hace que Rondodox sea particularmente peligroso. Así es como un atacante puede reutilizar ese acceso. En lugar de usar dispositivos infectados como nodos de botnet típicos, los arma como proxies sigilosos para amplificar las campañas de DDOS-for alquiler que ocultan el tráfico de comando y control, llevar a cabo fraude en capas y fusionar el fraude financiero con la interrupción de la infraestructura.
El análisis de los artefactos de Rondo DOX muestra que se distribuyó primero a los sistemas operativos de Target Based Linux que se ejecutan en arquitecturas ARM y MIPS antes de distribuirse a través de descargas de script de shell que pueden dirigirse a otras arquitecturas de Linux como Intel 80386, MC68000, MIPS R3000, PowerPC, Superh, Armmpact, X86-64 y Aarch64.
Cuando se lanzan, los scripts de Shell le dicen a los hosts de víctimas que ignoren las señales Sigint, SigQuit y Sigtem utilizadas para terminar procesos en sistemas operativos como UNIX, y verificar las rutas escritas en varias rutas como /dev, dev /shm, víctimas del director de inicio del usuario, mnt, /mnt, /run // 0, /var /run // tmp.
El paso final consiste en descargar el malware rondodox y ejecutarlo en el host, borrar el historial de ejecución de comandos y borrar trazas de actividad maliciosa. La carga útil de Botnet establece la persistencia de la máquina para que comience automáticamente después de un reinicio del sistema.
También está diseñado para escanear una lista de procesos de ejecución y terminar procesos relacionados con utilidades de red (como WGET y CURL), herramientas de análisis del sistema (como Wireshark y GDB) u otro malware (como agentes criptográficos o variaciones de cola de redtailización).
Este enfoque refleja las tendencias de crecimiento en los diseños de Botnet utilizando droppers múltiples de arquitectura, resolución C2 basada en DOH y reglas de IDS heredados que omiten las cargas útiles cifradas de XOR. Como parte de la categoría más amplia de malware evasivo de Linux, Rondodox se sienta junto con amenazas como los últimos bots y Moji, formando una nueva ola de botnets adaptativos construidos para aprovechar la higiene de IoT y el endurecimiento del enrutador débil.
Además, Rondodox escanea varios directorios ejecutables comunes de Linux, como/usr/sbin,/usr/local/bin y/usr/local/sbin, y modifican ejecutables legales con caracteres aleatorios con la intención de obstaculizar los esfuerzos de recuperación. Los nombres de archivo cambiados se enumeran a continuación –
iptables -jsujpf ufw -nqqbsc passwd -ahwdze chpasswd -ertx shutdown -hhrqwk poweroff -dcwkkb halt -cjtzgw reboot -gaajct
Una vez que se completa el proceso de configuración, el malware contacta con el servidor externo (83.150.218 (.) 93) para recibir un comando para realizar un ataque distribuido denegado (DDoS) en un objetivo particular utilizando los protocolos HTTP, UDP y TCP.
«Para evitar la detección, disfrazamos el tráfico malicioso al emular juegos y plataformas populares como Valve, Minecraft, Dark and Darker, Darez, Fortnite y GTA.
«Más allá de los protocolos de juegos y chat, Rondox también puede imitar el tráfico personalizado de los túneles y los servicios de comunicación en tiempo real como Wire Guard, OpenVPN Variants (como OpenVPnauth, OpenVPNCrypt, OpenVPNTCP), STUN, DTLS, RTC y más».
Si está suplantando el tráfico relacionado con una herramienta legítima, la idea es combinarse con la actividad normal y desafiar a los defensores a detectarlo y bloquearlo.
«Rondodox es una sofisticada amenaza de malware emergente que emplea técnicas de evasión avanzada, incluidas mediciones antianalíticas, datos de configuración codificados por XOR, bibliotecas personalizadas y mecanismos persistentes robustos», dijo Li. «Estas características les permiten permanecer sin ser detectados y mantener el acceso a largo plazo a los sistemas comprometidos».
Source link
