Los investigadores de ciberseguridad están llamando la atención sobre múltiples campañas que aprovechan las vulnerabilidades de seguridad conocidas y exponen los servidores Redis a una variedad de actividades maliciosas.
El primer conjunto de ataques implica el uso de CVE-2024-36401 (puntaje CVSS: 9.8). Esta es una vulnerabilidad crítica de ejecución de código remoto que afecta a Osgeo Geoserver Geotools, que ha sido armado en ataques cibernéticos desde la segunda mitad del año pasado.
«Los delincuentes usan vulnerabilidades para implementar kits legítimos de desarrollo de software (SDK) o arreglar aplicaciones para obtener ingresos pasivos a través de acciones de redes o representantes residenciales», dijo Zibin Zhang, Yiheng An, Chao Lei y Haozhe Zhang, un investigador de 42 Palo Alto Reds, en un informe técnico.
«Este método para generar ingresos pasivos es particularmente sigiloso. Imite la estrategia de monetización utilizada por los desarrolladores de aplicaciones legítimos que eligen SDK en lugar de mostrar anuncios tradicionales. Esta es una elección intencional que protege la experiencia del usuario y mejora la retención de aplicaciones».
La compañía de ciberseguridad dijo que los atacantes han estado investigando instancias de Geoserver expuestas a Internet desde al menos a principios de marzo de 2025, y están aprovechando el acceso para eliminar ejecutables personalizados de los servidores hostiles. La carga útil se distribuye a través de una instancia privada de un servidor de intercambio de archivos utilizando Transf.Sh, en lugar de un servidor web HTTP tradicional.
Las aplicaciones utilizadas en la campaña están destinadas a volar bajo el radar con una intensidad mínima de recursos, pero tienen la intención de monetizar en secreto el ancho de banda de Internet de las víctimas sin la necesidad de distribuir malware personalizado. El binario escrito en DART está diseñado para interactuar con servicios de ingresos pasivos legítimos y utiliza recursos de dispositivos cuidadosamente para actividades como el intercambio de ancho de banda.
Este enfoque es ventajoso para todas las partes involucradas, ya que los desarrolladores de aplicaciones se les paga a cambio de la integración de características y los ciberdelincuentes se benefician del ancho de banda no utilizado utilizando canales aparentemente inofensivos que no elevan la bandera roja.
«Una vez que se ejecuta, el ejecutable funciona en secreto en segundo plano, monitoreando los recursos del dispositivo y comparte ilegalmente el ancho de banda de la víctima siempre que sea posible», dijo la Unidad 42. «Esto crea ingresos pasivos para el atacante».
Los datos de telemetría recopilados por la compañía muestran que hay más de 7.100 instancias de Geoserver expuestas públicamente en 99 países, con China, Estados Unidos, Alemania, el Reino Unido y Singapur ganando los cinco mejores lugares.
«Esta campaña en curso ilustra una evolución significativa en cómo los enemigos monetizan los sistemas comprometidos», dijo la Unidad 42. «La estrategia central del atacante se centra en el sigilo y la monetización sostenida en lugar de la explotación agresiva de los recursos. Este enfoque respalda la generación de ingresos modestos a largo plazo sobre tecnologías fácilmente detectables».
Las divulgaciones se producen cuando explotamos vulnerabilidades de seguridad conocidas para elaborar en detalle la columna vertebral de la infraestructura que alimenta una gran botnet IoT llamada Polardege, incluidos los firewalls y enrutadores de grado empresarial, las cámaras IP y los teléfonos VoIP. Actualmente se desconoce su propósito exacto, pero está claro que Botnets no se usa para escaneos de masa indiscriminados.
Luego se abusa del acceso inicial y deja una puerta trasera TLS personalizada basada en TLS MBED que promueve el comando y el control encriptado, la limpieza de registros y las actualizaciones de infraestructura dinámica. Las puertas traseras se implementan comúnmente en puertos de alto nivel, tal vez como una forma de evitar los rangos de escaneo de redes y monitoreo defensivo tradicionales.
Polarradege muestra características adaptadas a la red de Relé Operacional (ORB), con la plataforma de gestión de la superficie de ataque que muestra que la campaña comenzó a junio de 2023, alcanzando alrededor de 40,000 dispositivos activos a partir de este mes. Más del 70% de las enfermedades infecciosas están dispersas por Corea del Sur, Estados Unidos, Hong Kong, Suecia y Canadá.
«Los orbes son nodos de salida comprometidos que reenvían el tráfico para llevar a cabo compromisos o ataques adicionales en nombre de los actores de amenazas», dijo la investigadora de seguridad Himaha Mamam. «Lo que hace que las orbes sean tan valiosas para los atacantes es que no tienen que hacerse cargo de las funciones centrales del dispositivo. Si bien el dispositivo continúa funcionando correctamente, puede transmitir en silencio el tráfico en segundo plano, con poca detección del propietario o ISP».
En los últimos meses, las vulnerabilidades en proveedores como Draytek, TP-Link, Raisecom y Cisco han impregnado a los malos actores y están siendo objetivo de implementar la variante Mirai Botnet Codename Gayfemboy, sugiriendo una expansión de la gama objetivo.
«La campaña gay de Fenboy abarca múltiples países, incluidos Brasil, México, Estados Unidos, Alemania, Francia, Suiza, Israel y Vietnam», dijo Fortinet. «Sus objetivos también cubren una amplia gama de sectores, que incluyen fabricación, tecnología, construcción, medios y comunicaciones».
Gayfemboy puede apuntar a una variedad de arquitecturas de sistemas, incluidas ARM, AARCH64, MIPS R3000, PowerPC e Intel 80386. Tiene cuatro características principales integradas.
Escucha. Rastree hilos y procesos mientras incorpora la persistencia y las técnicas de evasión de sandbox Watchdog. Esto intenta unirse al atacante del puerto UDP 47272. Esto utiliza protocolos UDP, TCP e ICMP para iniciar un ataque DDoS, permitiendo el acceso a la puerta trasera conectando a un servidor remoto y acceso a la puerta trasera utilizando un servidor remoto si está recibiendo comandos, si está recibiendo comandos Killise.
«Gayfemboy hereda los elementos estructurales de Mirai, pero introduce cambios notables que mejoran tanto la complejidad como la capacidad de evitar la detección», dijo el investigador de seguridad Vincent Li. «Esta evolución refleja la creciente sofisticación del malware moderno y refuerza la necesidad de una estrategia de defensa proactiva e impulsada por la inteligencia».
Los hallazgos también coinciden con una campaña de criptojacking llevada a cabo por un actor de amenaza llamado Ta-Natalstatus, que se dirige a los servidores Redis expuestos a entregar mineros de criptomonedas.
El ataque esencialmente implica escanear un servidor Redis no autorizado en el puerto 6379, luego emite una configuración legítima, establecer y guardar comandos para deshabilitar Selinux, realizar evasión de defensa, bloquear las conexiones externas al puerto Redis y bloquear las conexiones externas al puerto Redis para evitar que el acceso rival use llegadas conflictivas de conflictos.
También implementa scripts para instalar herramientas como MassCan y PNSCan, luego invoca un comando como «MassCan -Shard» para escanear Internet en busca de instancias sensibles de Redis. El último paso es establecer la persistencia a través de trabajos de cron por hora y comenzar el proceso minero.
La compañía de ciberseguridad Cloudsek dijo que la actividad fue una evolución de una campaña de ataque revelada por Trend Micro en abril de 2020, empacando nuevas características para acomodar características como RootKit para ocultar procesos maliciosos y modificar las marcas de tiempo de archivos para engañar al análisis forense.
«Al cambiar el nombre de binarios para sistemas como PS y TOP a PS. Originales y reemplazándolos con envoltorios maliciosos, filtran su malware (httpgd) de la salida. Los administradores que buscan menores no lo ven usando herramientas estándar», dijo el investigador Abhishek Mathew. «Cambian el nombre de Curl y Wget a CD1 y WD1. Esta es una manera simple pero excelente de evitar los productos de seguridad que monitorean descargas maliciosas que han sido lanzadas específicamente por estos nombres de herramientas comunes».
Source link
