Los investigadores de ciberseguridad están llamando la atención sobre una campaña de malware que se dirige a fallas de seguridad en las grabadoras de video digitales (DVR) de TBK (DVR) y enrutadores de cuatro religiones para aclarar los dispositivos a una nueva botnet citación Rondodoxo.
Las vulnerabilidades en cuestión incluyen CVE-2024-3721, una vulnerabilidad de inyección de comandos de severidad media que afecta a TBK DVR-4104 y DVR-4216 DVRS y CVE-2024-12856, un error de inyección de comandos operante (OS) que afecta a los modelos de cuatro ronter de cuatro faith F3X24 y F3X36.
Muchos de estos dispositivos están instalados en entornos críticos como tiendas minoristas, almacenes y oficinas pequeñas, donde a menudo no superponen durante abriles. Eso los convierte en objetivos ideales: ligera de explotar, difíciles de detectar y generalmente expuestos directamente a Internet a través de un firmware anticuado o puertos mal configurados.
Vale la pena señalar que los actores de amenaza han armado los tres defectos de seguridad para desplegar diferentes variantes de Botnet de Mirai en los últimos meses.
«Los dos (los defectos de seguridad) se han revelado públicamente y se están dirigiendo activamente, lo que representa graves riesgos para la seguridad del dispositivo y la integridad común de la red», dijo el investigador de Fortinet Fortiguard Labs, Vincent Li.
La compañía de seguridad cibernética dijo que identificó por primera vez un binario ELF para Rondodox en septiembre de 2024, con el malware capaz de imitar el tráfico de las plataformas de equipo o los servidores VPN que vuelan bajo el radar.
Lo que hace que Rondodox sea especialmente peligroso no es solo la adquisición del dispositivo, así es como los atacantes reutilizan ese entrada. En zona de usar dispositivos infectados como nodos de botnet típicos, los arman como proxies sigilosos para ocultar el tráfico de comando y control, admitir a final estafas en capas o amplificar campañas de DDoS a locación que combinan fraude financiero con una interrupción de la infraestructura.
El descomposición de los artefactos rondodoxes indica que inicialmente se distribuyó a los sistemas operativos de Target Based Linux que se ejecutan en arquitecturas ARM y MIPS, ayer de distribuirse a través de un descargador de script de shell que puede dirigirse a otras arquitecturas de Linux como Intel 80386, MC68000, MIPS R3000, PowerPC, Superh, Arcompact, X86-64 y Aarch64.
El script de shell, una vez animado, instruye al host de víctima que ignore las señales Sigint, Sigquit y Sigterter que se utilizan para terminar los procesos en sistemas operativos similares a unix, y verifica las rutas de escritura a través de varias rutas como /dev, /dev /shm, el directorio de inicio del agraciado del agraciado de la víctima, /Mnt, /Run /User /0, /Var /Log, /Var /Run, /TMP /TMP /TMP /TMP /Var /TMP /TMP, y, y TMP, y Var /TMP /Var /TMP /TMP, y y TMP /Var /TMP /Var /TMP /TMP /TMP /y Var /TMP /Var /TMP /TMP /y Var /TMP /Var /TMP /Var /TMP /TMP /TMP, y y Víco /Data/Circunscrito/TMP.
En el paso final, el malware Rondodox se descarga y ejecuta en el host, y sedimento el historial de ejecución de comandos para borrar trazas de la actividad maliciosa. La carga útil de Botnet, por su parte, procede a configurar la persistencia en la máquina para respaldar que se inicie automáticamente a posteriori de un reinicio del sistema.
Incluso está diseñado para escanear la relación de procesos de ejecución y terminar cualquier proceso relacionado con las utilidades de red (por ejemplo, WGET y CURL), herramientas de descomposición del sistema (por ejemplo, Wireshark y GDB) u otro malware (p. Ej.
Este enfoque refleja una tendencia creciente en el diseño de Botnet donde los actores de amenazas usan droppers múltiples de bloque, resolución C2 basada en el DOH y cargas bártulos cifradas por XOR para evitar las reglas de IDS heredados. Como parte de una categoría más amplia de malware evasivo de Linux, Rondodox se sienta anejo con amenazas como Rustobot y Mozi, formando una nueva ola de botnets adaptables construidas para explotar la mala higiene de IoT y el endurecimiento del enrutador débil.
Por otra parte, Rondodox escanea varios directorios ejecutables comunes de Linux, como/usr/sbin,/usr/bin,/usr/regional/bin y/usr/regional/sbin, y renombra ejecutables legítimos con caracteres aleatorios con la intención de inhibir los esfuerzos de recuperación. Los nombres de archivo modificados se enumeran a continuación –
- iptables – jsujpf
- UFW – LOGSC
- PASSWD – Ahwdze
- Chpasswd – ereghx
- mortecino – HHRQWK
- PowerOff – DCWKKB
- Halt – CJTZGW
- Reiniciar – Gaajct
Una vez que se completa el proceso de configuración, el malware contacta a un servidor extranjero (83.150.218 (.) 93) para admitir comandos para realizar ataques distribuidos de denegación de servicio (DDoS) contra objetivos específicos que usan protocolos HTTP, UDP y TCP.
«Para escamotear la detección, disfraza el tráfico desconfiado al imitar juegos y plataformas populares como Valve, Minecraft, Dark and Darker, Roblox, Dayz, Fortnite, GTA, así como herramientas como Discord, OpenVPN, WireGuard y Raknet», dijo Fortinet.
«Más allá de los protocolos de juegos y chat, Rondodox incluso puede imitar el tráfico personalizado de los servicios de comunicación de túneles y en tiempo vivo, incluidos WireGuard, OpenVPN variantes (por ejemplo, OpenVPNAuth, OpenVPNCrypt, OpenVpntcp), Stun, DTLS y RTC».
Al hacerse producirse por el tráfico asociado con herramientas legítimas, la idea es combinarse con la actividad corriente y hacer que sea difícil para los defensores detectarlo y bloquearlo.
«Rondodox es una amenaza de malware sofisticada y emergente que emplea técnicas de diversión descubierta, incluidas medidas anti-análisis, datos de configuración codificados por XOR, bibliotecas personalizadas y un mecanismo de persistencia robusto», dijo Li. «Estas capacidades le permiten permanecer sin detectar y persistir el entrada a grande plazo en los sistemas comprometidos».
