🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Vetor de ataque
RedeTipo de malware
Trojan de acesso remotoCategoria
Botnet de IoTAlvo
Roteador Tenda AC15 AC1900Setor afetado
Tudo (exploração específica de hardware)Mirai e Mutantes
O malware Mirai escaneia a Internet em busca de dispositivos de IoT executados no processador Argonaut RISC Core (ARC), que executa uma versão simplificada do sistema operacional Linux. Esse malware tem todos os recursos de um vírus/worm/trojan. Algumas variantes conhecidas do Mirai que estão na natureza são Okiru, Satori, Masuta e PureMasuta. A Mirai iniciou suas operações no final de 2016 e publicou seu código-fonte, o que levou ao surgimento de vários mutantes ou variantes na natureza. O Mirai tinha como alvo principalmente prestadores de serviços.Tinta
Tinta é uma botnet de IoT baseada no código-fonte do Mirai, com funcionalidades adicionais de execução de comandos e roaming na intranet por meio de roteadores comprometidos, ao contrário do Mirai, que normalmente orquestra ataques de DDoS. Essa variante do Mirai também usa as seguintes funções de controle personalizadas:- Proxy SOCKS5 para roteadores
- Violação do DNS do roteador no nível do roteador
- Tabelas IP personalizadas para redirecionamento de tráfego
- Execução personalizada de comandos do sistema
- WebSocket sobre protocolo TLS [WSS] para comunicação C2
- Concha reversa
- Atualização automática
Explorando 0 dias
O Ttint explora duas vulnerabilidades, das quais uma foi corrigida recentemente (CVE-2020-10987) e a outra permanece oculta e sem correção. A vulnerabilidade que foi corrigida recentemente (CVE-2020-10987) tem como alvo os roteadores Tenda AC15 AC1900, que permitem que os invasores executem comandos arbitrários do sistema por meio do parâmetro POST “DeviceName”.[/vc_wp_text] [vc_wp_text]Impacto
- O Ttint tem como alvo os roteadores Tenda para construir o botnet. Como resultado, qualquer consumidor que use o hardware do fornecedor será alvo do ataque.
- Quando o roteador é comprometido, o invasor pode acessar a rede interna por trás do roteador, permitindo ataques a outras máquinas.
- Um Trojan de acesso remoto tem recursos de espionagem e pode criar a pegada digital de suas vítimas.
- Os ataques de DDoS pela botnet podem derrubar serviços essenciais, causando tempo de inatividade, afetando a disponibilidade dos negócios para os clientes e, eventualmente, causando perdas financeiras.
- Com a capacidade de manipular o tráfego da rede, a confidencialidade e a integridade estão comprometidas.
- Correio de spam.
- Ttint rouba informações do cartão de crédito.
- Esse botnet de IoT realiza fraudes de cliques.
- Ele também é capaz de resolver desafios fracos de CAPTCHA em sites.
IOCs
IP
34,92,85,21 34,92,139,186 43,249,29,56 45,249,92,60 45,249,92,72 103,60,220,48 103,108,142,92 103,243,183,248Hashes MD5
3e6a16bcf7a9e9e0be25ae28551150f54ee942a0153ed74eb9a98f7ad321ec976bff8b6fd606e795385b84437d1e1e0a733f71eb6cfca905e8904d0fb785fb43a89cefdf71f2fced35fba8612ad07174c5cb2b438ba6d809f1f71c776376d293cfc0f745941ce1ec024cb86b1fd244f373ffd45ab46415b41831faee138f306eC2
cnc.notepod2.com: 23231back.notepod2.com: 80Q9uvveypib.notepod2.com: 443uhyg8v.notepod2.com: 5001URL
http://45.112.205.60/td[.]shhttp://45.112.205.60/ttint[.]i686http://45.112.205.60/ttint[.]arm5elhttp://45.112.205.60/ttint[.]mipselhttp://34.92.139.186:5001/bot/get[.]shhttp://34.92.139.186:5001/bot/ttint[.]mipselhttp://34.92.139.186:5001/bot/ttint[.]x86_64[/vc_wp_text] [vc_wp_text]Medidas preventivas
- Gerenciamento adequado de patches e atualizações.
- Implantação de soluções EDR/XDR eficientes e robustas em sistemas de endpoint.
