Los investigadores de seguridad están alertando sobre una nueva variante del botnet Mirai denominada MooBot que apunta a dispositivos D-Link. La novedosa amenaza emplea múltiples técnicas de explotación.
MooBot apareció por primera vez en 2019, secuestrando grabadores de video digital LILIN y productos de vigilancia de video Hikvision, convirtiéndolos en una familia de bots de denegación de servicio.
Detectar MooBot
Para detectar el ID de firma de la muestra de MooBot dentro de su sistema, utilice la siguiente regla Sigma proporcionada por el desarrollador de alto nivel de SOC Prime Threat Bounty, Nattatorn Chuensangarun:
La regla de detección está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Movimiento Lateral representada por la técnica de Explotación de Servicios Remotos (T1210).
Nuestra biblioteca de contenido SOC agrega más de 200,000 algoritmos de detección y respuesta mapeados directamente a los marcos CVE y MITRE ATT&CK® para que pueda resistir los notorios ciberataques en las primeras etapas de intrusión. Obtenga acceso instantáneo haciendo clic en el Explorar Detecciones botón.
Análisis de MooBot
Los hallazgos provienen de Unit 42 de Palo Alto Networks, quienes dicen que los actores de amenazas aprovechan las siguientes vulnerabilidades de D-Link de alta y crítica severidad: CVE-2015-2051, CVE-2018-6530, CVE-2022-26258 y CVE-2022-28958. Si los adversarios tienen éxito con sus intentos de explotación, pueden ejecutar código malicioso de forma remota y obtener la carga útil de MooBot para comprometer dispositivos de red operados por Linux. Una vez que el atacante establece control total sobre el dispositivo, el cielo es el límite cuando se trata de sus planes maliciosos. Con alta probabilidad, los adversarios continúan para lanzar ataques DDoS virulentos.
El botnet basado en Mirai llamado Moobot puede causar un impacto crítico en la seguridad; las severas consecuencias de estos ataques instan a los usuarios de dispositivos vulnerables a parchear las fallas lo más rápido posible.
El aumento en el número y la severidad de los ciberataques en todo el mundo crea una superficie de ataque expandida, poniendo en riesgo cada día a más individuos y empresas. Para equipar a su empresa con las mejores prácticas de seguridad, regístrese en el SOC Prime Platform.
