Uma nova campanha de ataque utilizando as instâncias atualizadas do Hide ‘n seek Internet das coisas botnet atualmente atacando usuários no mundo inteiro. A análise das amostras capturadas segurança mostrar que o código atualizado uma ampla gama de suporte servidores de bancos de dados. Isso dá aos grupos de hackers uma arma muito formidável que eles podem utilizar em ataques avançados.
Hide 'N Seek IoT Botnet atualizado com novos recursos
As cepas recém-capturadas da botnet Hide 'N Seek IoT contêm uma base de código atualizada. As cepas capturadas revelam que as novas versões do malware podem atingir vários servidores de banco de dados, apresentando assim uma ameaça ainda maior.
o primeiras versões de Hide 'N Seek foram encontrados em janeiro em campanhas globais de larga escala que conseguiram infectar milhares de dispositivos de maneira rápida. A análise realizada mostra que os hackers por trás das infiltrações usaram inúmeras vulnerabilidades para encontrar uma fraqueza e infectar o host de destino. No início de maio 2018 as estatísticas indicam que a botnet infectou mais de 90 000 anfitriões. Outras adições a ele na época incluíam um novo módulo de persistência.
Essas adições reconfiguram as configurações do sistema de destino para iniciar automaticamente o malware assim que o dispositivo é ligado. Ele reconfigura as configurações de inicialização para ignorar quaisquer serviços ou aplicativos que possam interferir em sua execução correta. Se os dispositivos Windows estiverem infectados, o motor pode modificar o respectivo Entradas do Registro modificando os que pertencem ao gerenciador de inicialização, além disso, pode instalar entradas pertencentes a si mesmo.
Hide 'N Seek IoT Botnet Mecanismo de Infecção
As infecções são feitas de maneira P2P que não depende de um local centralizado de onde os ataques estão sendo feitos. Isso o torna muito mais eficaz, pois os administradores de segurança terão muito mais dificuldade em filtrar os hosts maliciosos.
Descobriu-se que as versões mais recentes do botnet Hide 'N Seek IoT incluem explorações mais recentes que visam vulnerabilidades Cisco Linksys roteadores e Webcams AVTECH. O motor agora tem um 171 nós P2P codificados e outras adições de recursos, como um mineiro criptomoeda. Isso instala uma instância de software que faz uso dos recursos disponíveis do sistema para gerar ativos de moeda digital que são gerados automaticamente nas carteiras do hacker.
O mecanismo de infecção utiliza um scanner de porta que parece ter sido retirado do botnet Mirai. A análise mostra que procura portas abertas para serviços comuns (portos 80, 8080/2480, 5984 e 23) e outros selecionados aleatoriamente. Uma novidade é a capacidade de infectar bancos de dados — tanto o OrientDB quanto o Apache CouchDB são suportados.
Existem três maneiras distintas de o botnet entrar em contato com os outros peers que formam a rede:
- Entrando em contato com a lista integrada de pares.
- Argumentos de linha de comando especificados.
- Conforme instruído por outros pares.
Quando as instâncias são iniciadas sem argumentos, o Hide 'N Seek IoT Botnet, o nó local enviará uma série de pacotes de check-in UDP para relatar a infecção.
A razão pela qual o Hide N’ Seek IoT botnet é temido como uma arma de hacking eficaz é a motivação por trás disso. Os criminosos parecem ter como alvo empresas e agências governamentais, adicionando os novos recursos de infecção. As atualizações mais recentes também podem sinalizar uma ampla campanha global contra usuários finais que frequentemente empregam webcams e dispositivos IoT como parte de suas compras de equipamentos domésticos inteligentes.
Se o botnet for usado para causar sabotar para os hosts infectados, isso pode ser feito através do uso do mecanismo de manipulação de banco de dados. Os criminosos podem usá-lo para apagar, manipular ou sequestrar informações armazenadas, bem como vírus de plantas nos hospedeiros vítimas.
Outros danos que podem ser infligidos incluem Comportamento do cavalo de Tróia. Nesse caso, é estabelecida uma conexão segura com um servidor controlado por hackers ou nó P2P. Através dele os criminosos podem espionar as vítimas em tempo real, bem como assumir o controle dos dispositivos e implantar ameaças adicionais.
A característica perigosa das infecções por botnet é que, em muitos casos, os usuários vítimas podem não apresentar nenhum sintoma.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: