Detección de la variante Mirai V3G4: Nueva versión de botnet explotando 13 vulnerabilidades para atacar servidores Linux y dispositivos IoT
Tabla de contenidos:
Los actores de amenazas están constantemente enriqueciendo sus herramientas ofensivas mientras experimentan con nuevas variantes de malware sofisticado para expandir el alcance de los ataques. Los defensores cibernéticos han observado un nuevo botnet Mirai llamado V3G4 que ha ganado protagonismo en el panorama cibernético de amenazas. La novedosa variante de malware ha sido utilizada en múltiples campañas de adversarios, amenazando a usuarios durante más de medio año desde julio de 2022. Al explotar ciertas vulnerabilidades en un conjunto de dispositivos IoT, la Variante V3G4 de Mirai puede llevar a la ejecución remota de código (RCE) y ataques de denegación de servicio (DDoS).
Detección del Variante V3G4 de Mirai
Dado el aumento de volumen y sofisticación de los ataques que aprovechan la nueva variante V3G4 de Mirai, los profesionales de la seguridad requieren una fuente confiable de contenido de detección para identificar la actividad maliciosa asociada y defender proactivamente la infraestructura organizacional.
La plataforma Detection as Code de SOC Prime ofrece una regla Sigma dedicada por nuestro destacado desarrollador de Threat Bounty Wirapong Petshagun que detecta patrones de explotación de ejecución de comandos remotos de Mitel AWC en los registros del servidor web relacionados con la última actividad de V3G4:
La detección está alineada con el marco de trabajo MITRE ATT&CK v12, abordando la táctica de Acceso Inicial con Exploit Application Facing Público (T1190) aplicada como su técnica principal. La regla Sigma puede traducirse automáticamente en 16 soluciones SIEM, EDR y XDR, ahorrando segundos en la detección de amenazas multiplataforma.
¿Deseoso de unirte a las filas de los defensores cibernéticos? Únete a nuestro Programa Threat Bounty para monetizar tu contenido exclusivo de detección mientras codificas tu futuro CV y perfeccionas habilidades de ingeniería de detección. Publicadas en el mercado de detección de amenazas más grande del mundo y exploradas por más de 8,000 organizaciones a nivel mundial, tus reglas Sigma pueden ayudar a detectar amenazas emergentes y hacer del mundo un lugar más seguro mientras obtienes beneficios financieros recurrentes.
Para explorar todo el lote de reglas Sigma que detectan actividad maliciosa asociada con malware Mirai, presiona el botón Explorar Detecciones . Las reglas están acompañadas de extensa metadata, incluidos enlaces CTI correspondientes, referencias ATT&CK e ideas para caza de amenazas.
Descripción del Variante V3G4 de Mirai
El infame malware Mirai ha sido un dolor de cabeza para los defensores cibernéticos, continuamente mejorado y enriquecido con nuevas capacidades ofensivas. En septiembre, los actores de amenazas detrás del botnet Mirai lanzaron su complicada iteración conocida como MooBot, afectando a dispositivos D-Link y aprovechando una amplia gama de técnicas de explotación.
La nueva variante del botnet Mirai apodada V3G4 ha sido notada en la arena de amenazas cibernéticas desde mediados del verano de 2022, apuntando a servidores basados en Linux y dispositivos de red. Según la investigación de Palo Alto Networks Unit 42,, las muestras de la nueva versión de malware observadas en tres campañas de adversarios son muy probablemente atribuidas a un colectivo de hackers con base en los dominios C2 codificados de forma idéntica, el uso de la misma clave de cifrado XOR y descargadores de scripts shell, así como otras capacidades ofensivas con patrones similares.
En los ataques en curso, el botnet Mirai está apuntando a 13 vulnerabilidades sin parchear en dispositivos IoT, intentando causar RCE y dando luz verde a los adversarios para potenciales ataques DDoS. Los exploits apuntan a vulnerabilidades de RCE, inyección de comandos e inyección de Lenguaje de Navegación de Grafos de Objetos (OGNL) en una amplia gama de dispositivos IoT, incluidos FreePBX Elastix, Gitorious, cámaras web FRITZ!Box, Webmin, Spree Commerce, Atlassian Confluence y otros productos populares.
Notablemente, a diferencia de otras versiones de Mirai, la nueva variante V3G4 aplica una clave XOR única para encriptación de cadenas para cada caso de uso. Antes de conectarse al servidor C2, V3G4 inicializa funciones de ataque DDoS, todo listo para intentar ataques DDoS una vez que la conexión esté lista.
La Variante V3G4 de Mirai puede tener un severo impacto en la seguridad de los sistemas afectados tras la explotación exitosa de vulnerabilidades, conduciendo a RCE y ataques adicionales, lo que requiere ultra-responsividad por parte de los defensores cibernéticos.
Alcanza más de 800 reglas Sigma para detectar proactivamente intentos de explotación de CVEs actuales y emergentes y siempre mantente un paso adelante de los adversarios. Obtén 140+ reglas Sigma gratis o benefíciate de detecciones Premium relevantes de tu elección con On Demand en https://my.socprime.com/pricing/.
