Threat Database Botnets Botnet SORA

Botnet SORA

La SORA Botnet es una variante basada en el código de la infame Mirai Botnet. Desde que el código fuente de Mirai se hizo público en un foro de hackers en 2016, se han detectado varias campañas que involucran variantes personalizadas de la botnet. En el caso de SORA, fue diseñado para abusar de dos vulnerabilidades. Para la ejecución remota de código, aprovecha CVE-2017-17215, mientras que CVE-2018-10561 le da al malware la capacidad de administrar el dispositivo infectado.

Una vez que un dispositivo apropiado se ve comprometido, se elimina un descargador de la infraestructura de Comando y Control (C2, C&C) configurada para la campaña. Este malware de primera etapa es responsable de entregar y ejecutar la carga útil de SORA real en la segunda etapa de la cadena de ataque.

SORA se implementó junto con otra variante de Mirai Botnet llamada UNSTABLE en una campaña dirigida a los sistemas de almacenamiento de videovigilancia Rasilient PixelStor5000. El vector de entrada específico fue la vulnerabilidad CVE-2020-6756, que permite a los piratas informáticos ejecutar comandos RCE a través del parámetro 'lang'.

Dado que las redes de bots necesitan una cantidad considerable de dispositivos comprometidos, que se convierten en bots de manera inherente, para realizar sus funciones, no es tan sorprendente cuando los piratas informáticos deciden ampliar su rango inicial de objetivos. Cuando se alcanza la masa crítica, las botnets pueden causar interrupciones masivas a través de ataques de denegación de servicio distribuido (DDoS). De hecho, el objetivo de la mayoría de los delincuentes es ofrecer su botnet en alquiler a cualquier actor de amenazas potencial que desee realizar tales ataques.

Tendencias

Mas Visto

Cargando...