Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Redes de bots Botnet Nexcorium

Botnet Nexcorium

Por Mezo en Redes de bots
Traducir a:

Las investigaciones de ciberseguridad revelan que los ciberdelincuentes están explotando activamente las vulnerabilidades de seguridad en los sistemas DVR de TBK y en los routers Wi-Fi TP-Link descatalogados para desplegar variantes de la botnet Mirai. Estos dispositivos, a menudo ignorados en las estrategias de seguridad, representan puntos de entrada atractivos debido a su firmware obsoleto, configuraciones débiles y actualizaciones poco frecuentes. Su amplia distribución incrementa aún más su valor como objetivos en ciberataques a gran escala.

Explotación de vulnerabilidades conocidas para el acceso inicial

La campaña dirigida a los dispositivos DVR de TBK aprovecha la vulnerabilidad CVE-2024-3721, una vulnerabilidad de inyección de comandos de gravedad media (puntuación CVSS: 6.3) que afecta a los modelos DVR-4104 y DVR-4216. Al explotar esta vulnerabilidad, los atacantes distribuyen una carga útil basada en Mirai conocida como Nexcorium. Esta vulnerabilidad no ha pasado desapercibida en campañas anteriores; se ha utilizado previamente para desplegar variantes de Mirai y la emergente botnet RondoDox.

Además, investigaciones anteriores pusieron de manifiesto un ecosistema de cargadores como servicio responsable de distribuir múltiples familias de malware, entre ellas RondoDox, Mirai y Morte, mediante el abuso de credenciales débiles y vulnerabilidades heredadas en enrutadores, dispositivos IoT y aplicaciones empresariales.

Cadena de infección y despliegue de la carga útil

La secuencia de ataque comienza con la explotación de la vulnerabilidad DVR para desplegar un script de descarga. Este script identifica la arquitectura Linux del sistema objetivo y ejecuta la carga útil de la botnet correspondiente. Una vez activado, el malware indica que se ha tomado el control mostrando un mensaje.

Nexcorium reproduce el diseño estructural de las variantes tradicionales de Mirai, incorporando datos de configuración codificados, mecanismos de monitorización del sistema y módulos específicos para lanzar ataques de denegación de servicio distribuidos.

Movimiento lateral y técnicas de persistencia

El malware extiende su alcance dentro de las redes explotando vulnerabilidades adicionales, incluida la CVE-2017-17215, que afecta a los dispositivos Huawei HG532. También emplea técnicas de fuerza bruta utilizando listas de credenciales integradas para comprometer otros sistemas mediante acceso Telnet.

Una vez que se obtiene acceso, el malware realiza varias acciones:

  • Establece una sesión de shell en el host comprometido.
  • Configura la persistencia mediante crontab y los servicios systemd.
  • Se conecta a un servidor remoto de comando y control para recibir instrucciones.
  • Elimina el binario original para reducir la visibilidad forense.

Estas medidas garantizan un control continuo al tiempo que minimizan las posibilidades de detección y análisis.

Capacidades de la red de bots e impacto operativo

Tras asegurar la persistencia, Nexcorium permite a los atacantes ejecutar una variedad de ataques DDoS utilizando múltiples protocolos, entre ellos:

UDP
TCP
SMTP

Esta capacidad multivectorial permite escenarios de ataque flexibles y de alto impacto, lo que convierte a la botnet en una amenaza significativa para la infraestructura objetivo.

Panorama de amenazas persistentes y riesgos futuros

Nexcorium ejemplifica la evolución de las botnets centradas en IoT, combinando la reutilización de exploits, la compatibilidad entre arquitecturas y robustos mecanismos de persistencia. Su integración de vulnerabilidades conocidas junto con agresivas tácticas de fuerza bruta demuestra un alto grado de adaptabilidad.

La continua dependencia de credenciales predeterminadas y dispositivos sin actualizar garantiza que los ecosistemas de IoT seguirán siendo un punto débil crítico. Sin mejoras significativas en las prácticas de seguridad de los dispositivos, estos sistemas continuarán alimentando operaciones de botnets a gran escala y perturbando la estabilidad de la red global.

Tendencias

Estafa por correo electrónico sobre seguridad de...

Suplantación de identidad (phishing), Correo basura
En el panorama actual de amenazas, el correo electrónico sigue siendo uno de los puntos de entrada más comunes para los ciberataques. Los usuarios deben mantenerse alerta ante mensajes inesperados, especialmente aquellos que instan a tomar medidas inmediatas. Muchos de estos correos electrónicos son estafas cuidadosamente elaboradas, y es importante comprender que no están asociados con ninguna...

Mas Visto

Cargando...