Un grupo de piratas informáticos desconocido está aprovechando un malware previamente desconocido llamado Ttint que se clasifica como un troyano específico de IoT. Lo que sabemos es que los desarrolladores de hackers están utilizando dos vulnerabilidades de día cero para inmiscuirse en los dispositivos de destino.. El análisis de seguridad ha dado lugar a una investigación., revelando así las debilidades en dos avisos publicados: CVE-2018-14558 y CVE-2020-10987. De las muestras capturadas, parece que el malware se basa en el código Mirai.
CVE-2018-14558 & CVE-2020-10987 utilizado como mecanismo para entregar el troyano Ttint IoT
Un nuevo y peligroso troyano de IoT ataca dispositivos en todo el mundo. Según el análisis de código publicado, está basado en el código Mirai y desarrollado por un grupo de piratería desconocido. Al igual que otros virus de esta categoría, cuando se produce una sola infección, intentará automáticamente invadir otros hosts similares., creando así una gran red de botnets en el proceso. Por esta razón, Tales campañas de ataque se consideran muy efectivas si se realizan la configuración y los objetivos adecuados..
Las infiltraciones con este malware en particular se realizan utilizando el enfoque típico de ataques de red directos — los piratas informáticos utilizarán marcos automatizados que están cargados con las vulnerabilidades necesarias. Si las redes de destino no están parcheadas, las infecciones se producirán automáticamente. Una de las razones por las que estas intrusiones se consideraron críticas en su potencial de daño es porque las debilidades se etiquetaron como “Día cero”, eran desconocidos antes de las infecciones.
Los primeros ataques fueron detectados en noviembre 2019, cuando se lanzó el troyano Ttint IoT contra los propietarios de enrutadores Tenda. Esta primera instancia utilizó las dos vulnerabilidades y la divulgación pública se realizó en julio 2020. La segunda ola de ataques se llevó a cabo en agosto. 2020, de nuevo contra los dispositivos Tenda. El troyano Ttint se centra en el uso de estos dos avisos:
- CVE-2018-14558 — Se descubrió un problema en los dispositivos Tenda AC7 con firmware a través de V15.03.06.44_CN(AC7), Dispositivos AC9 con firmware hasta V15.03.05.19(6318)_CN(AC9), y dispositivos AC10 con firmware hasta V15.03.06.23_CN(AC10). Una vulnerabilidad de inyección de comandos permite a los atacantes ejecutar comandos arbitrarios del sistema operativo a través de una solicitud goform / setUsbUnload diseñada. Esto ocurre porque el “formsetUsbUnload” la función ejecuta una función dosystemCmd con una entrada que no es de confianza.
- CVE-2020-10987 — El punto final goform / setUsbUnload de la versión Tenda AC15 AC1900 15.03.05.19 permite a atacantes remotos ejecutar comandos arbitrarios del sistema a través del parámetro POST deviceName.
Según la información disponible la mayoría de los ataques son contra víctimas en Sudamérica.
Capacidades del troyano Ttint IoT
El troyano Tting Iot se basa en Mirai y, como tal, incluye una secuencia de infección similar. Si bien incluye el mismo enfoque distribuido de denegación de servicio, los piratas informáticos también han implementado una 12 instrucciones de control.
Cuando la infección se ejecuta en los equipos afectados, una de las primeras acciones será ocultar las pistas de virus de ser detectado. Esto se hace monitoreando el sistema operativo con el objetivo de buscar cualquier sistema de seguridad instalado.. Si encuentra alguno, el troyano intentará desactivarlo., esto funciona para programas y servicios como programas antivirus, cortafuegos, hosts de máquinas virtuales y etc.. Este motor de malware puede borrarse a sí mismo si no pasa por alto estos programas.
Cuando el troyano se encuentra en un sistema determinado, evitará que el sistema se reinicie., Éste es un ejemplo de un instalación persistente. Esto es intencional y difiere de otras amenazas similares que simplemente inician el virus cuando el dispositivo está encendido..
Se cambiará el nombre de los nombres reales con los que operan los procesos asociados con el malware., este es un intento de ocultar su presencia. Todos los archivos de configuración y los datos asociados con su funcionamiento están encriptados., haciéndolos solo disponibles para los piratas informáticos. Algunas de las características distintivas del troyano Ttint IoT son las siguientes:
- Operación avanzada de troyanos - El programa de agente instalado localmente se conectará a un servidor controlado por piratas informáticos y permitirá que los atacantes remotos tomen el control total de los dispositivos.. Sin embargo, en lugar de usar una conexión estándar, este virus en particular utilizará un protocolo websocket que hace que sea muy difícil rastrear los paquetes.
- Uso del servidor proxy - La comunicación entre la computadora local y el servidor remoto controlado por piratas informáticos se transmitirá a través de un servidor proxy operado por los delincuentes..
- Secuestro de acceso a la red - El malware reconfigurará archivos de configuración importantes de los dispositivos de destino. Como en su mayoría son enrutadores, al hacerlo, los delincuentes tendrán acceso completo al acceso a la red de los usuarios..
- Exposición de la red - Al reescribir las reglas del firewall, la amenaza podrá exponer los servicios privados que se implementan en las máquinas detrás de la red interna..
- Mejorar - A intervalos determinados, el malware principal comprobará si hay una nueva versión lanzada. Puede actualizarse automáticamente a cualquier iteración más nueva..
Como otros virus de esta categoría, es capaz de secuestrar información confidencial desde el dispositivo anfitrión, incluidos los componentes de hardware disponibles. Los datos recopilados se informarán a los delincuentes durante la transmisión de la red..
Una lista completa de los comandos implementados incorporados es la siguiente:
attack_udp_generic, attack_udp_vse, attack_udp_dns, attack_udp_plain, atack_tcp_flag, attack_tcp_pack, attack_tcp_xmas, attack_grep_ip, attack_grep_eth, attack_app_http, ejecutar el comando "nc", ejecutar el comando "ls", ejecutar comandos del sistema, manipulación del DNS del enrutador, Informar la información del dispositivo, Configurar iptables, ejecutar el comando "ifconfig", auto-salida, Abrir proxy Socks5, Clos Socks5 proxy, Autoactualización, cáscara inversa
En este momento, la mejor solución es actualizar al firmware más reciente disponible del fabricante del dispositivo. En el momento tienda es el único fabricante conocido de dispositivos específicos. Dada la magnitud de los ataques y la extensa lista de características, Esperamos que los ataques futuros apunten a una gama más amplia de dispositivos IoT..
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: