Uma botnet nunca antes vista chamada Goldoon foi observada mirando roteadores D-Link com uma falha crítica de segurança quase uma década atrás, com o objetivo de usar os dispositivos comprometidos para ataques futuros.
A vulnerabilidade em questão é CVE-2015-2051 (pontuação CVSS: 9.8), que afeta os roteadores D-Link DIR-645 e permite que atacantes remotos executem comandos arbitrários por meio de solicitações HTTP especialmente criadas.
“Se um dispositivo-alvo for comprometido, os atacantes podem obter controle completo, permitindo-lhes extrair informações do sistema, estabelecer comunicação com um servidor C2 e, em seguida, usar esses dispositivos para lançar ataques adicionais, como negação de serviço distribuída (DDoS)”, disseram os pesquisadores do Fortinet FortiGuard Labs, Cara Lin e Vincent Li.
Dados de telemetria da empresa de segurança de rede apontam para um aumento na atividade da botnet por volta de 9 de abril de 2024.
Tudo começa com a exploração do CVE-2015-2051 para recuperar um script dropper de um servidor remoto, que é responsável por baixar a carga útil da próxima fase para diferentes arquiteturas de sistemas Linux, incluindo aarch64, arm, i686, m68k, mips64, mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha e PA-RISC.
A carga útil é subsequentemente lançada no dispositivo comprometido e age como um downloader para o malware Goldoon de um ponto remoto, após o qual o dropper remove o arquivo executado e então se exclui na tentativa de encobrir o rastro e passar despercebido.
Qualquer tentativa de acessar o ponto final diretamente por meio de um navegador da web exibe a mensagem de erro: “Desculpe, você é um agente do FBI e não podemos ajudá-lo 🙁 Saia ou eu vou matá-lo :)”.
O Goldoon, além de estabelecer persistência no host usando vários métodos de execução automática, estabelece contato com um servidor de comando e controle (C2) para aguardar comandos para ações de acompanhamento.
Isso inclui um “incrível 27 métodos diferentes” para realizar ataques de inundação DDoS usando vários protocolos como DNS, HTTP, ICMP, TCP e UDP.
“Embora o CVE-2015-2051 não seja uma vulnerabilidade nova e apresente uma complexidade de ataque baixa, ele tem um impacto crítico em segurança que pode levar à execução de código remoto”, disseram os pesquisadores.
O desenvolvimento ocorre à medida que as botnets continuam a evoluir e explorar o máximo possível de dispositivos, mesmo quando cibercriminosos e atores de ameaças persistentes avançadas demonstraram interesse em roteadores comprometidos para uso como uma camada de anonimização.
“Cibercriminosos alugam roteadores comprometidos para outros criminosos e muito provavelmente também os disponibilizam para provedores comerciais de proxy residencial”, disse a empresa de segurança cibernética Trend Micro em um relatório.
“Atores de ameaças de nação-estado como Sandworm usaram suas próprias botnets de proxy dedicadas, enquanto o grupo APT Pawn Storm teve acesso a uma botnet de proxy criminal de Ubiquiti EdgeRouters.”
