Uma nova campanha da botnet Mirai e Hoaxcalls está a utilizar o RCE do Symantec Secure Web Gateway – RCE para atacar utilizadores a uma larga escala.
O Mirai é um dos malwares IoT mais populares e que tem como alvo dispositivos IoT, como câmeras IP e DVRs. Esses dispositivos aproveitando portas abertas e credenciais padrão, através da exploração de vulnerabilidades divulgadas e não divulgadas e adicionando, assim, os dispositivos à rede botnet.
A botnet Mirai tem infetado diversos dispositivos a larga escala nos últimos anos e foi usado na maioria dos ataques DDoS disruptivos em várias plataformas. No entanto, nestas recentes vagas, está a utilizar força bruta de credenciais e exploração da vulnerabilidade do Symantec Secure Web Gateway RCE.
Alguns servidores portugueses têm sido observados também como elemento crucial na disseminação desta ameaça. Por exemplo, no passado mês de abril, o bot de infeção da botnet estava hospedado a ser disseminado in-the-wild num servidor em Portugal como pode ser observado nos registos disponíveis no 0xSI_f33d – The Portuguese Abuse Open Feed.
Por outro lado, Hoaxcalls é uma variante IoT da família Tsnami e Gafgyt Botnets. Foi detetada pela primeira vez em abril de 2020.
Esse malware tem a capacidade de implantar proxies no tráfego de um dispositivo infetado, despoletar um grande número de ataques DDoS, efetuar o download de novas atualizações do bot, evitar reboots do sistema infetado e ainda manter os sistemas todos sincronizados na botnet.
Recentes vagas deste botnet apresentam que ela está a abusar do RCE do Symantec Secure Web Gateway (v5.0.2.8), como observado na seguinte solicitação HTTP.
Como pode ser observado, na fase de infeção é concretizado um pedido ao C2 plexle.[us onde está alojado no payload final (o bot que tem como objetivo infetar a maquina sob ataque).
A URL acima possui um ficheiro bash que descarrega o binário e garante a sua execução no dispositivo alvo.
According to the Palo Alto networks research, Palo Alto Networks customers are secured from this attack. Threat Prevention blocks all exploits and Wild Fire recognizes all related samples with suspicious findings.
De acordo com a equipa da Symantec, eles não têm provas de que outras versões do firmware estejam vulneráveis a partir deste momento.
They also committed that there is no exploited vulnerability present in Symantec Secure Web Gateway 5.0.2.8 and the authentication is required for the successful exploitation of the Symantec Secure Web Gateway RCE.
Public report: https://unit42.paloaltonetworks.com/hoaxcalls-mirai-target-legacy-symantec-web-gateways/
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.