Botnetul C0XMO se răspândește prin intermediul unei vulnerabilități a routerelor DD-WRT

O nouă variantă a botnetului Gafgyt, denumită C0XMO, vizează firmware-ul routerelor DD-WRT și se poate răspândi către alte tipuri de dispozitive cu diverse arhitecturi de procesor.

Specialiștii au identificat exemple pe arhitecturile ARM, MIPS, PowerPC, SuperH, x86, x86_64 și altele, care conțin vulnerabilități exploatabile pentru dispozitive DVR, routere, platforme de gestionare video și dispozitive bazate pe Android.

Specialiștii de la Fortinet au identificat C0XMO și au evidențiat structura sa modulară, care permite operatorilor să actualizeze tehnicile de exploatare, să adauge sau să elimine arhitecturi vizate și să extindă capacitățile independente de tip lateral movement de payload-ul principal.

În esență, C0XMO rămâne un malware destinat lansării de atacuri distribuite de tip denial-of-service (DDoS) și suportă 19 metode, inclusiv flood-uri UDP/TCP/SYN/ICMP, ping of death, amplificare NTP/Memcached, flood-uri UDP de voce Discord și flood-uri specifice Valve.

Potrivit specialiștilor, malware-ul botnetului C0XMO este distribuit prin exploatarea vulnerabilității CVE-2021-27137, o vulnerabilitate de tip buffer overflow cauzată de introducerea insuficientă de date de către utilizator. Aceasta poate fi exploatată fără autentificare și duce la executarea de cod arbitrar.

Pentru o distribuție mai largă, C0XMO descarcă un script Python care instalează pachete suplimentare precum requests, paramiko și beautifulsoup4, necesare pentru scanarea rețelei și comunicare, precum și pentru executarea activităților prin protocoalele SSH și Telnet.

Scanner-ul utilizează apoi thread-uri de lucru pentru a scana aleatoriu sistemele conectate la internet pe porturi comune precum 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443, 8888 și altele.

După identificarea unei ținte, malware-ul încearcă să obțină datele de autentificare prin atacuri brute-force pentru Telnet și SSH, detectează arhitectura procesorului și implementează un fișier binar C0XMO compatibil.

Odată ce obține acces la un dispozitiv, malware-ul se copiază în locații ascunse, cum ar fi /tmp/.sys, /var/tmp/.sys și /dev/shm/.sys, apoi creează sarcini cron care îl relansează la fiecare 15 minute. De asemenea, fișierele de pornire ale shell-ului sunt modificate pentru a permite executarea automată.

Recomandarea generală pentru protejarea împotriva C0XMO și a altor programe malware de tip botnet este să mențineți dispozitivele actualizate, să utilizați date de autentificare unice pentru administrator și să dezactivați funcțiile de acces la distanță atunci când nu sunt necesare.

Specialiștii observă că designul general al malware-ului indică un grad mai mare de complexitate operațională și sofisticare decât malware-ul tipic Gafgyt.

Sursă: https://www.bleepingcomputer.com/news/security/c0xmo-botnet-spreads-via-dd-wrt-router-flaw-kills-rival-malware/