A Botnet Satori tem como alvo as pools de mineração Ethereum que executam o software de mineração Claymore

Uma nova variante do temido Miari, que tem o nome de Wicked Mirai, surgiu na internet e os seus operadores parecem bem ativos.
Especialistas conseguiram observar meliantes usando o botnet Satori escanearam em massa a internet em busca de pools de mineração expostos da criptomoeda Ethereum que estão fazendo a varredura de dispositivos com a porta tcp/3333 expostas.

A porta 3333 é comumente usada para gerenciamento remoto por um grande número de equipamentos de mineração de criptomoedas.

As atividades foram relatadas por várias equipes de pesquisa, como Qihoo 360 Netlab, SANS ISC e GreyNoise Intelligence.

Iniciando em 11 de maio os especialistas estão observando um aumento da atividade da botnet Satori.

 

De acordo com os pesquisadores da GreyNoise os meliantes estão focados em equipamentos que executam o software de mineraão ClayMore.

E o ataque consiste em uma vez que eles conseguem achar este software eles enviam instruções para que o dispositivo se junte a um pool de mineração usando a carteira ETH que está no controle deles e assim, gera dinheiro sem que eles precisem se esforçar demais uma vez que o dono do dispositivo demorará um tempo para notar sua queda de rendimentos ( e se observar ).

Os especialistas notaram que a maioria dos dispositivos envolvidos nesta varredura em massa são roteadores GPON comprometidos e localizados no México.

Eles monitoraram cinco botnets usand os roteadores GPON comprometidos efetuando a varredura dos dispositivos rodando o sofware Claymore de mineração e uma delas é a botnet Satori que está aproveitando de um exploit para o ataque.

Detalhes das cinco botnets publicadas pelo Netlab 360:

  • Satori: é uma variante do botnet Mirai. Primeiro ela foi observada vindo de dispositivos vulneráveis GPON em 10/05/2018 às 05:51:18 que são horas antes da publicação deles.
    Ele rapidamente ultrapassou o muhstik, sendo a botnet número 1.
  • Mettle: é uma campanha maliciosa que teve como base ips no Vietnã (C2 210.245.26.180:4441, scanner 118.70.80.143) e um módulo de controle de código aberto.
  • Hajime: uma atualização para o que já está ocorrendo no GPON.
  • Duas variantes do Mirai: temos pelo menos mais duas variações do Mirai que estão explorando ativamente esta vulnerabilidade para propagar suas variantes. Um dels foi chamado de omni pela equipe newskysecurity.
  • imgay: uma botnet que parece estar em desenvolvimento. Sua função ainda não está clara.

 

“Em nosso artigo anterior mencionamos que a Vulnerabilidade GPON (CVE-2018-10561, CVE-2018-10562) anunciada apareceu em pelo menos cinco famílias de botnets mettle, muhstik, mirai, hajime, satori exploraram ativamente a vulnerabilidade para construir seu exército de zumbis em apenas 10 dias ”, diz um post publicado pelo Netlab 360.

“Em nossa estimativa pelo menos 2% de todos os roteadores domésticos GPON são afetados e a maioria dos quais está localizada no México.”

“A fonte desta verificação são cerca de 17K de endereços IP independentes, principalmente da Uninet SA de CV, telmex.com localizadas no México.”

Pesquisadores da SANS ISC analisaram que as atividades da botnet Satori descobriram que ela está atualmente utilizando da falha de execução remota CVE-2018-1000049 que afeta o software Nanopool Claymore Dual Miner.

Os especialistas observaram esta vulnerabilidade em uma prova de conceito explorando a CVE acima.

“A verificação é ligada a uma vulnerabilidade,CVE 2018-1000049, que apareceu em fevereiro. A API de gerenciamento remoto JSON RPC fornece uma função para recarregamento “reboot.bat” que é um script que pode ser executado remotamente. O invasor pode executar e carregar um comando arbitrário usando este recurso”, na análise da SANS ISC.

“A porta na qual a API está rodando é especificada ao iniciar o miner, mas a padrão é 3333. O recurso pelo um modo somente leitura especificando uma porta netativa que desativa os recursos perigosos. E não parece haver uma opção para exigir autenticação.”

 

Via Security Affairs

loading...