La botnet Hide 'N Seek de Internet of Things (IoT) recientemente ha agregado soporte para más dispositivos y también puede infectar los servidores de bases de datos OrientDB y CouchDB, dicen los investigadores de NetLab de Qihoo 360.
Cuando se detallaron por primera vez en enero de este año, la botnet estaba evolucionando y extendiéndose rápidamente, atrapando a decenas de miles de dispositivos en cuestión de días. Dirigido a numerosas vulnerabilidades, el malware era capaz de exfiltración de datos, ejecución de código e interferencia con el funcionamiento del dispositivo.
A principios de mayo, el malware infectó más de 90,000 dispositivos, agregó código para atacar más vulnerabilidades y también adoptó la persistencia, pudiendo sobrevivir al reinicio. El módulo de persistencia, sin embargo, solo se activaría si la infección se realizó a través del servicio Telnet.
Una red zombi de igual a igual (P2P), Hide 'N Seek ha seguido evolucionando, y actualmente está apuntando a aún más vulnerabilidades que antes. El botnet ahora también incluye exploits para dispositivos AVTECH (cámara web) y enrutadores Cisco Linksys, revela NetLab de Qihoo 360.
Además, el malware ahora incluye 171 direcciones de nodo P2P codificadas, ha agregado un programa de minería criptodinámica a su código, y también se ha convertido en una amenaza multiplataforma, con la adición de soporte para los servidores de bases de datos OrientDB y CouchDB.
El mecanismo de propagación de la botnet incluye un escáner tomado de Mirai, dirigido al puerto TCP fijo 80/8080/2480/5984/23 y otros puertos aleatorios.
Para la infección, el malware intenta la ejecución remota de código utilizando explotaciones dirigidas a enrutadores TPLink, enrutadores Netgear (también segmentados por Reaper botnet y la variante Mirai Wicked), cámaras AVTECH, enrutadores Cisco Linksys, JAW / 1.0, OrientDB y Apache CouchDB.
Más información: https://www.securityweek.com/hide-n-seek-iot-botnet-can-infect-database-servers
Saludos.