Un actor de amenazas, apodado como Matrix ha sido vinculado a una campaña de ataques de Denegación de Servicio Distribuido (DDoS) a gran escala. Estos ataques aprovechan vulnerabilidades y configuraciones incorrectas en dispositivos del Internet de las Cosas (IoT), permitiendo su incorporación a una botnet para actividades disruptivas.
La operación se caracteriza por un enfoque multifuncional y autónomo, capaz de realizar tareas como escaneo de redes, explotación de vulnerabilidades, despliegue de malware y creación de kits de ataque. Este enfoque refleja la filosofía de ataque de tipo “hágalo todo usted mismo” en el ámbito de la ciberseguridad.
Las evidencias sugieren que la campaña es llevada a cabo por un atacante solitario, probablemente un “script kiddie” (un atacante con habilidades técnicas limitadas que usa herramientas existentes). Los principales objetivos de los ataques han sido direcciones IP en China y Japón, además de otras ubicaciones menores como Argentina, Australia, Brasil, Egipto, India y Estados Unidos.
El análisis de vulnerabilidades del actor de amenazas se basó en la evaluación de Exposición a Vulnerabilidades Comunes (CVE) empleando los scripts utilizados, sus objetivos y los puertos asociados. A pesar de que este enfoque puede ser incompleto, se identificaron 10 CVE relevantes en los scripts empleados. La CVE más reciente, CVE-2024-27348, corresponde a una vulnerabilidad crítica en HugeGraph publicada en abril de 2024, que ha sido activamente explotada por el atacante. El resto de las vulnerabilidades identificadas corresponden a CVE más antiguas.
La cadena de ataques de Matrix se caracteriza por la explotación de vulnerabilidades conocidas y el uso de credenciales predeterminadas o débiles para obtener acceso a dispositivos conectados a Internet. Estos dispositivos incluyen cámaras IP, grabadores de video digital (DVR), routers y otros equipos de telecomunicaciones. Además, se explotan servidores mal configurados de Telnet, SSH y Hadoop, con especial atención a las IP de proveedores de servicios en la nube (CSP), como Amazon Web Services (AWS), Microsoft Azure y Google Cloud.
La mayor parte de las vulnerabilidades explotadas se encuentran en dispositivos IoT, como se refleja en los CVE CVE-2022, CVE-2022-30075, CVE-2018-10562, CVE-2018-10561, CVE-2018-9995, CVE-2017-18368, CVE-2017-17215, CVE-2017-17106, CVE-2014-8361. Esto refuerza el objetivo del atacante: comprometer dispositivos IoT con medidas de seguridad mínimas para ampliar su botnet DDoS. El compromiso de estos dispositivos permite su explotación durante periodos prolongados, lo cual facilita mantener una infraestructura de ataque persistente y poco detectable.
El actor de amenazas hace uso de una amplia variedad de scripts y herramientas de código abierto disponibles en GitHub, con el objetivo de desplegar el malware Mirai y otros programas de DDoS en los dispositivos comprometidos. Mirai es una botnet notoria que infecta dispositivos IoT para lanzar ataques de denegación de servicio distribuido. Otros programas desplegados incluyen PYbot, pynet, DiscordGo, Homo Networks y un script JavaScript que ejecuta ataques de inundación HTTP/HTTPS. Adicionalmente, emplea herramientas para desactivar Microsoft Defender Antivirus en sistemas Windows comprometidos.
Matrix también ha creado una cuenta en GitHub, abierta en noviembre de 2023, desde donde aloja artefactos DDoS que forman parte de la infraestructura de esta campaña maliciosa.
Fuente: unaaldia.hispasec.com