Un botnet sin precedentes llamado Goldoon ha sido visto atacando routers de D-Link con una vulnerabilidad crítica casi una década de antigüedad. La vulnerabilidad en cuestión es CVE-2015-2051 con una puntuación CVSS de 9.8, afectando a los routers D-Link DIR-645. Esto permite a los atacantes ejecutar comandos remotos vía solicitudes HTTP especialmente diseñadas. Según los investigadores de Fortinet FortiGuard Labs Cara Lin y Vincent Li, una vez comprometido, el atacante obtiene el control total.
El pico en la actividad del botnet se registró el 9 de abril de 2024, según los datos de telemetría de la empresa de seguridad de red. El ataque comienza con la explotación de CVE-2015-2051 para recuperar un script de carga de un servidor remoto. Este script, luego descarga el malware Goldoon desde un punto final remoto para actuar como descargador. La carga útil se inicia en el dispositivo comprometido, tras lo cual el cargador se elimina para camuflar el ataque.
Además de configurar la persistencia en el host, Goldoon establece contacto con un servidor de comando y control (C2) para recibir órdenes de acciones de seguimiento. Esto incluye 27 métodos diferentes para realizar ataques DDoS utilizando varios protocolos como DNS, HTTP, ICMP, TCP y UDP. Los expertos advierten que, a pesar de la baja complejidad de ataque, CVE-2015-2051 tiene un impacto crítico. Trend Micro afirma que los ciberdelincuentes alquilan routers comprometidos y los ofrecen a proveedores comerciales de proxies residenciales. Además señala que actores de amenazas estatales usan sus propios botnets de proxy.
En febrero, el gobierno de EE. UU. desmanteló partes de un botnet llamado MooBot que aprovechaba principalmente los Ubiquiti EdgeRouters. Trend Micro observó que los routers se utilizaban para una variedad de actividades maliciosas, incluyendo ataques de fuerza bruta de Secure Shell (SSH), spam farmacéutico, empleo de reflectores de servidor de mensajes (SMB) en ataques de relé de hash NTLMv2 y para el intercambio de credenciales robadas en sitios de phishing.
Los routers de Ubiquiti también han sido atacados con un malware llamado Ngioweb, utilizando estos dispositivos como nodos de salida en un botnet residencial de proxy disponible comercialmente. Los hallazgos subrayan el uso de diversas familias de malware para controlar los routers, convirtiéndolos en puestos de escucha encubiertos capaces de monitorear todo el tráfico de la red. Trend Micro destaca que los routers de Internet siguen siendo un activo popular para los actores de amenazas debido a su vigilancia de seguridad reducida y políticas de contraseñas menos estrictas.’
Vía The Hacker News