Tsunami Botnet
Una botnet recientemente establecida llamada Tsunami ha experimentado un rápido desarrollo, y los investigadores de seguridad de la información han observado un aumento considerable en sus capacidades en poco tiempo. Cuando se detectó por primera vez la actividad de la botnet, implementó una carga útil que consistía en una variante de cripto-minero XMR Monero. Como vector de compromiso, explotó los sistemas API de Docker configurados incorrectamente. Ambos aspectos de la botnet se han modificado significativamente en la última versión.
Los piratas informáticos responsables de desatar la botnet cambiaron el vector de ataque, y ahora Tsunami se propaga a través de una vulnerabilidad de WebLogic. En particular, explota la vulnerabilidad CVE-2020-14882, a la que se le otorgó una calificación de gravedad de 9,8 sobre 10. En octubre de 2020, Oracle publicó un parche que aborda el problema, pero muchos objetivos no se han parcheado y permanecen expuestos a ataques. La cantidad de cargas útiles de malware entregadas por la botnet se duplicó con la inclusión de binarios de Tsunami además de las variantes de cripto minero XMR observadas anteriormente. Para la propagación lateral dentro de la red comprometida, utiliza SecureShell enumerando los usuarios, claves, hosts y puertos de ssh. Los investigadores de Infosec que analizaron el código subyacente del malware descubrieron dos secciones de código no utilizado. Uno se dedica a explotar Redis, mientras que el otro puede intentar la fuerza bruta de SecyreShell. Otra funcionalidad agregada al malware es la capacidad de finalizar soluciones de seguridad específicas y herramientas de monitoreo. También puede terminar los procesos en ejecución para cualquier herramienta de minería potencialmente competitiva que ya podría haber sido implementada en el objetivo comprometido por otros actores de amenazas.
Durante su cadena de ataque de múltiples etapas, la botnet entrega múltiples scripts de shell .xms y un número aún mayor de scripts de Python. En general, los scripts de shell tienen la tarea de preparar el entorno para la entrega de las cargas útiles del malware. Llevan a cabo las rutinas de terminación de procesos, desinstalan ciertas soluciones de defensa de endpoints y realizan el movimiento lateral SSH intentando infectar hosts con los que el servidor ha estado en contacto anteriormente. Los scripts .xms también establecen el mecanismo de persistencia de la amenaza al aprovechar cronjobs, que descargarán y ejecutarán los scripts de shell y los scripts de Python a intervalos predeterminados: 1 minuto, 2 minutos, 3 minutos, 30 minutos y cada hora. /etc/init.d/down también se sobrescribe para garantizar la persistencia en cada inicio del sistema.
Por otro lado, los scripts de Python son los vehículos que implementan las cargas útiles de malware de la botnet. Con cuatro guiones en total, se pueden separar en dos grupos distintos. El primer grupo que se implementa es el del criptominero XMRig Monero. También establece su propio mecanismo de persistencia a través de cron antes de iniciar el segundo grupo de scripts. En esta etapa, los archivos binarios de Tsunami se recuperan y se inicializan en el objetivo.
El rápido desarrollo de la botnet combinado con el descubrimiento de funcionalidades no utilizadas que podrían habilitarse en cualquier momento demuestra la capacidad de los ciberdelincuentes para adaptar y modificar sus herramientas de malware rápidamente.
