Botnet Gitpaste-12

Gitpaste-12 es una botnet y una amenaza de gusano extremadamente sofisticada que ha sido equipada con una amplia gama de capacidades amenazantes. El nombre Gitpaste-12 se derivó del hecho de que ciertos componentes de la amenaza estaban alojados en servicios legítimos como GitHub y Pastebin. El número 12 denota los 12 vectores de ataque diferentes explotados por el gusano: 11 vulnerabilidades y una función de fuerza bruta de telnet. Dos de las vulnerabilidades apuntan a Apache Struts y MongoDB, dos componentes de código abierto ampliamente utilizados. El malware está diseñado para infectar servidores x86 basados en Linux y dispositivos de Internet de las cosas (IoT) basados en MIPS y ARM de Linux.

El hecho de que la carga útil principal de Gitpaste-12 Botnet estuviera alojada en sitios genuinos como GitHub y Pastebin hace que sea mucho más difícil bloquear la infraestructura Command-and-Control (C2, C&C) del malware dentro de la red comprometida. Cabe señalar que Gitpaste-12 estuvo presente en Github durante varios meses a partir de julio de 2020, pero fue eliminado después de ser descubierto por los investigadores de Juniper Threat Labs. Si bien esto detiene la propagación de la botnet de manera efectiva, los piratas informáticos pueden establecer su infraestructura C2 en otro lugar, una posibilidad que es muy probable debido a que Gitpaste-12 está en desarrollo activo, como lo demuestran varios factores.

Una vez dentro del dispositivo objetivo, Gitpaste-12 finaliza múltiples capas de medidas de protección anti-malware. Desactiva las reglas de firewall, apparmor, selinux, etc. Luego permite a los piratas informáticos ejecutar comandos de shell inverso utilizando los puertos TCP 30004 y 30005, como se observa en algunos de los sistemas infectados. Gitpaste-12 tiene diferentes módulos responsables de colocar un minero de criptomonedas Monero en los dispositivos comprometidos, ejecutar un script basado en Telnet para ataques de fuerza bruta contra servidores Linux y dispositivos IoT, un mecanismo de persistencia a través de cronjob, etc. El gusano puede propagarse y infectar otras máquinas eligiendo un CIDR / 8 aleatorio y probando todas las direcciones dentro de ese rango.