El equipo de investigación de amenazas de Qualys ha identificado una campaña a gran escala del botnet Mirai, denominada Murdoc Botnet. Esta variante explota vulnerabilidades en cámaras AVTECH y routers Huawei HG532, demostrando capacidades mejoradas para comprometer dispositivos y establecer redes botnet expansivas.
Análisis Técnico de la Campaña
Desde julio de 2024, se ha observado una campaña activa de Mirai. Mediante una consulta FOFA, se identificaron más de 1,300 IPs activas en esta campaña. Tras un examen exhaustivo de las direcciones IP asociadas con la actividad de la campaña, el equipo de investigación de amenazas de Qualys reveló la distribución geográfica de los países afectados, con Malasia ocupando la primera posición, seguida de Tailandia, México e Indonesia.
Análisis de Comando y Control
Se descubrieron más de 100 conjuntos distintos de servidores que facilitaban la distribución del malware Mirai. Estos servidores se comunicaban con las IPs comprometidas para distribuir el malware.
Murdoc Botnet
El malware Mirai, denominado aquí como Murdoc Botnet, es una familia de malware prominente para sistemas *nix. Principalmente, apunta a dispositivos AVTECH y Huawei vulnerables, utilizando exploits existentes como CVE-2024-7029 y CVE-2017-17215 para descargar payloads de siguiente etapa.
Por ejemplo, el exploit CVE-2017-17215 se utiliza para comprometer routers Huawei HG532, permitiendo la ejecución remota de código y la descarga de payloads maliciosos. De manera similar, CVE-2024-7029 se emplea para atacar cámaras AVTECH, facilitando la inyección de comandos y la descarga de malware adicional.
Análisis en Profundidad del Shell Script
Se descubrieron más de 500 muestras que contenían archivos ELF y ShellScript. Cada ShellScript se carga en dispositivos como cámaras IP, dispositivos de red y dispositivos IoT, y, a su vez, el servidor C2 carga la nueva variante del botnet Mirai, es decir, Murdoc Botnet, en los dispositivos. Todas las muestras analizadas utilizan el mismo mecanismo en el flujo de infección.
Por ejemplo, un script bash analizado indica que la muestra está dirigida a dispositivos TPLINK, utilizando comandos específicos para comprometer estos dispositivos y descargar el malware Murdoc Botnet.
Conclusión y Recomendaciones
La campaña Murdoc Botnet representa una amenaza significativa para dispositivos AVTECH y Huawei vulnerables. Se recomienda encarecidamente a los administradores de sistemas que actualicen sus dispositivos a las últimas versiones de firmware y apliquen parches de seguridad relevantes para mitigar el riesgo de compromiso por esta variante de Mirai.
