Los investigadores descubrieron una versión de Mirai conocida como IZ1H9 que explotaba vulnerabilidades para propagarse, los actores de amenazas explotan vulnerabilidades para atacar servidores Linux desprotegidos y dispositivos de red que ejecutan el sistema operativo.
Los dispositivos comprometidos pueden estar controlados por los atacantes que los exploraron y convertirse en miembros de la red de bots, estos dispositivos tienen el potencial de usarse en la comisión de ataques, como son los ataques de denegación de servicio distribuido (DDoS).
IZ1H9 es un riesgo significativo, explota muchas vulnerabilidades y puede tomar el control completo de los dispositivos afectados, que se convierten en miembros de su botnet, desde noviembre del 2021 cuando se vio en la naturaleza por primera vez la versión Mirai IZ1H9 se ha vinculado con iniciativas diferentes.
Lo mas seguro que estas actividades sean obra de un solo actor de amenazas, como lo demuestran signos cruciales, como los descargadores de scripts de Shell de malware similares, las claves de descifrado XOR y el uso de funciones idénticas.
Investigaciones de expertos
En abril del presente año, los investigadores observaron un trafico extraño que apuntaba a un descargador de scripts de Shell llamado “ib.sh” y se originaba en una IP determinada, en caso de realizarse con éxito, el descargador borraría los registros, ocultando las operaciones que a estado haciendo, luego descarga clientes de bot personalizados para trabajar con una variedad de arquitecturas de Linux.
En este paso, altera las reglas de iptable del dispositivo, lo que hace que las conexiones de red de muchos puertos se interrumpan, las victimas tendrán dificultades para recuperar dispositivos remotos como resultado de esta estrategia.
Después de otras investigaciones, se conocieron otras dos URL en línea con descargadores de scripts de Shell, los cuales tenían clientes de botnet que se comunicaban con un servidor de comando y control C2, así como otras URL que alojaban estos scripts.
También los descargadores, descargaban clientes de botnet y desde un lugar predeterminado se ponían en contacto con varios dominios C2. Después del análisis de las muestras descargadas, se llegó a la conclusión que eran un subtipo de la botnet Mirai conocida como IZ1H9, desde que se descubrió en agosto de 2018, esta ha llamado la atención y sigue siendo una variante activa.
IZ1H9, evita la ejecución de un rango de bloques de IP, elimina otros procesos de botnet e intenta conectarse a un dirección C2 codificada, esta es una de las similitudes entre las variantes, los ataques de ejecución remota de código continúan siendo los peligros más frecuentes y preocupantes que afectan Linux y los dispositivos IoT.
Estos durante mucho tiempo han sido un objetivo rentable para los actores de amenazas, son susceptibles a los ataques y se dejan expuestos pueden resultar en un peligro mayor.
Si las vulnerabilidades que están explotando esta amenaza no son tan difíciles de explotar, su efecto no disminuye, puede resultar en la ejecución remota de código, una vez que el atacante tiene el control de un dispositivo susceptible, puede agregar este dispositivo u otro que hay sido pirateado a su red de bots.