Trojan.SH.MIRAI.BOI
Trojan.SH.MIRAI.BOI es la designación asignada a un descargador de botnet Mirai personalizado. Desde que el código de la botnet Mirai se lanzó al público en 2016, los ciberdelincuentes han tenido la oportunidad de simplemente tomarlo y agregar sus propias modificaciones para adaptarse mejor a su agenda. El Trojan.SH.MIRAI.BOI está diseñado para atacar los dispositivos de Internet de las cosas (IoT) al escanear en busca de cajas Big-IP expuestas, abusar de varias vulnerabilidades y desplegar una carga útil amenazante. La vulnerabilidad en la que se centra principalmente Trojan.SH.MIRAI.BOI es CVE-2020-5902. En esencia, este error consiste en una vulnerabilidad de ejecución remota de código (RCE) que puede afectar la interfaz de usuario de administración de tráfico (TMUI) de los dispositivos Big-IP. El exploit es extremadamente amenazador, ya que permite a los piratas informáticos ejecutar comandos arbitrarios en el dispositivo infectado simplemente enviando una solicitud GET con un parámetro de 'comando' a 'tmshCmd.jsp'.
Los investigadores de Infosec detectaron dos direcciones IP como parte de las operaciones de amenazas. El primero en txxp: //79.124.8.24/bins/ actúa como un vector de infiltración, mientras que hxxp: //78.142.18.20 es el servidor de Comando y Control (C2, C&C). El servidor de host contenía varios archivos llamados SORA, otra variante basada en Mirai Botnet que se especializaba en ataques de fuerza bruta, explotación de vulnerabilidades RCE y un archivo de script de shell llamado 'fetch.sh'. El script de shell es responsable de ponerse en contacto con el servidor C&C y entregar la carga útil de las aplicaciones adecuadas. También configura la ejecución automática de los archivos binarios dañados. Además, a través de la herramienta iptables, el script configura los paquetes enviados a los puertos TCP de uso común, como los de Telnet, el panel web del dispositivo (HTTP) y Secure Shell (SSH) para que se eliminen. El objetivo posible es evitar que cualquier otro malware infecte el dispositivo ya comprometido o bloquear el acceso de los usuarios a la interfaz de administración del dispositivo.
Además de la vulnerabilidad CVE-2020-5902, Trojan.SH.MIRAI.BOI explota otras nueve vulnerabilidades, tres de las cuales no tenían una identificación CVE cuando se detectó la amenaza.
