Godlua Backdoor Usos CVE-2019-3396 para orientar a los usuarios de Linux
CYBER NOTICIAS

Godlua Backdoor Usos CVE-2019-3396 para orientar a los usuarios de Linux

Hay una nueva pieza de malware de puerta trasera avanzada que puede dirigirse tanto a los sistemas Linux y Windows en un lugar seguro, la comunicación nunca antes vista. La puerta trasera se ha denominado Godlua, ya que es a base de Lua y “el archivo de código de bytes Lua cargado por esta muestra tiene un número mágico de “Dios”. El propósito principal de la puerta trasera parece ser DDoS.




Godlua Backdoor: detalles

De acuerdo con Qihoo 360 investigadores, hay dos versiones de Godlua:

Versión 201811051556 se obtiene por la que atraviesa los servidores de descarga Godlua y no ha habido ninguna actualización en él. Versión 20190415103713 ~ 2019062117473 es activo y activamente se está actualizando. Todos ellos están escritos en C, pero el que activa el soporte de plataformas informáticas y más características.

El malware fue descubierto de abril 24 este año, cuando el sistema de detección de amenazas de los investigadores ha detectado un archivo sospechoso ELF, que fue marcado por otros proveedores de seguridad como un troyano minera. La funcionalidad de minería actualmente no se puede confirmar a diferencia de los ataques DDoS que ya está en uso.

El hecho más interesante de la puerta trasera Godlua es que tiene un mecanismo de comunicación redundante utilizado para el mando y control (c2) conexión. Es una combinación de nombre DNS codificado, Pastebin.com, GitHub.com y una TXT de DNS que se utilizan para almacenar la dirección c2. Este comportamiento es poco frecuente en cualquier tipo de malware. Además, la puerta trasera utiliza HTTPS descarga Lua archivos de código byte, y utiliza DNS a través de HTTPS para obtener el nombre C2 para garantizar una comunicación segura entre los robots, el servidor Web y el C2, informaron los investigadores.

Como ya se ha mencionado, el propósito principal de Godlua parece estar relacionado a los ataques DDoS. Ya se ha detectado en las campañas activas en un ataque de inundación HTTP en contra de la liuxiaobei[.]dominio com.

Relacionado: Yowai Botnet, Variante de Mirai, Exploits conocidos vulnerabilidad ThinkPHP

Los investigadores tienen que ver más de Godlua ser capaz de determinar la forma en que la puerta trasera infecta sus objetivos. Hasta ahora lo único que se sabe es que el malware utiliza el denominado Confluencia explotar (CVE-2019-3396) para dirigirse a usuarios de Linux.

CVE-2019-3396 es una vulnerabilidad que reside en el macro Widget Conector en Atlassian Confluence Server antes de versión 6.6.12 (la versión fija para 6.6.x), de la versión 6.7.0 antes de 6.12.3 (la versión fija para 6.12.x), de la versión 6.13.0 antes de 6.13.3 (la versión fija para 6.13.x), y de la versión 6.14.0 antes de 6.14.2 (la versión fija para 6.14.x).

La vulnerabilidad permite a un atacante remoto para lograr recorrido ruta y la ejecución remota de código en un servidor o instancia Confluencia del centro de datos a través de la inyección de la plantilla del lado del servidor, como se explica en el asesor oficial.

la sugerencia de los investigadores es al menos “monitorear y bloquear la IP relevante, URL y dominio nombre de Godlua puerta trasera en su red". divulgación técnica completa Godlua de puerta trasera está disponible.

Milena Dimitrova

Milena Dimitrova

Un escritor inspirado y gestor de contenidos que ha estado con SensorsTechForum desde el comienzo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...