Το νέο DDoS botnet AndoryuBot εκμεταλλεύεται ένα RCE bug Ruckus

Ένα νέο botnet κακόβουλου λογισμικού, με την ονομασία “AndoryuBot”, στοχεύει σε ένα σφάλμα κρίσιμης σοβαρότητας στο Admin panel της Ruckus Wireless για να μολύνει σημεία πρόσβασης Wi-Fi που δεν έχουν ενημερωθεί για χρήση σε επιθέσεις DDoS.

Το ελάττωμα εντοπίζεται ως CVE-2023-25717 και επηρεάζει όλες τις εκδόσεις 10.4 και παλαιότερες του Ruckus Wireless Admin panels, επιτρέποντας σε απομακρυσμένους επιτιθέμενους να εκτελέσουν κώδικα στέλνοντας μη εξουσιοδοτημένα αιτήματα HTTP GET σε ευάλωτες συσκευές.

Το ελάττωμα ανακαλύφθηκε και διορθώθηκε στις 8 Φεβρουαρίου 2023. Παρόλα αυτά, πολλοί δεν έχουν εφαρμόσει τις διαθέσιμες ενημερώσεις ασφαλείας, ενώ τα μοντέλα end-of-life που επηρεάζονται από το πρόβλημα ασφαλείας δεν θα λάβουν επιδιόρθωση.

Το AndoryuBot εμφανίστηκε για πρώτη φορά τον Φεβρουάριο του 2023, αλλά η Fortinet λέει ότι η νεότερη έκδοση που στοχεύει τις συσκευές Ruckus εμφανίστηκε στα μέσα Απριλίου.

Το malware botnet έχει ως στόχο να στρατολογήσει ευάλωτες συσκευές στο σμήνος DDoS (distributed denial of service) που διαχειρίζεται με σκοπό το κέρδος.

Δείτε επίσης: Το Magecart malware χτυπά ξανά και ξανά σε e-commerce websites

Δείτε επίσης: Οι προσπάθειες αναχαίτισης των ransomware αρχίζουν να αποδίδουν καρπούς

Ruckus λεπτομέρειες επίθεσης

Το κακόβουλο λογισμικό μολύνει ευάλωτες συσκευές μέσω κακόβουλων αιτημάτων HTTP GET και στη συνέχεια κατεβάζει ένα πρόσθετο script από ένα hardcoded URL για περαιτέρω διάδοση.

Η παραλλαγή που αναλύθηκε από το Fortinet μπορεί να στοχεύσει πολλές αρχιτεκτονικές συστημάτων, συμπεριλαμβανομένων των x86, arm, spc, m68k, mips, sh4 και mpsl.

Μετά τη μόλυνση μιας συσκευής, το κακόβουλο λογισμικό εγκαθιστά επικοινωνία με τον διακομιστή C2 χρησιμοποιώντας το πρωτόκολλο SOCKS proxying για μυστικότητα και παράκαμψη των τειχών προστασίας και στη συνέχεια περιμένει εντολές.

AndoryuBot project

Το κακόβουλο λογισμικό AndoryuBot υποστηρίζει δώδεκα τρόπους επίθεσης DDoS: TCP-raw, TCP-socket, TCP-CNC, TCP-handshake, UDP-plain, UDP-game, UDP-OVH, UDP-raw, UDP-VSE, UDP-dstat, UDP-bypass και ICMP-echo.

Το κακόβουλο λογισμικό θα λαμβάνει εντολές από τον διακομιστή εντολών και ελέγχου που θα του λένε τον τύπο DDoS, τη διεύθυνση IP του στόχου και τον αριθμό θύρας για την επίθεση.

Οι διαχειριστές του malware νοικιάζουν το firepower τους σε άλλους εγκληματίες του κυβερνοχώρου που θέλουν να εξαπολύσουν επιθέσεις DDoS, δεχόμενοι πληρωμές σε κρυπτονομίσματα (XMR, BTC, ETH, USDT, CashApp) σε αντάλλαγμα για τις υπηρεσίες τους.

Η Fortinet αναφέρει ότι οι εβδομαδιαίες τιμές ενοικίασης κυμαίνονται από 20 δολάρια για μια επίθεση μιας σύνδεσης, 90 δευτερολέπτων με χρήση όλων των διαθέσιμων bots που εκτοξεύονται 50 φορές την ημέρα έως 115 δολάρια για μια επίθεση διπλής σύνδεσης, 200 δευτερολέπτων με χρήση όλων των διαθέσιμων bots για την εκτόξευση 100 επιθέσεων ημερησίως.

Δείτε επίσης: Η Sysco επιβεβαιώνει ότι το δίκτυο της παραβιάστηκε

Το Andoryu Project προωθείται επί του παρόντος μέσω βίντεο στο YouTube, στα οποία οι χειριστές του επιδεικνύουν τις δυνατότητες του botnet.

Για να αποτρέψετε μολύνσεις από κακόβουλο λογισμικό botnet, εφαρμόστε τις διαθέσιμες ενημερώσεις υλικολογισμικού, χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης διαχειριστή συσκευής και απενεργοποιήστε την απομακρυσμένη πρόσβαση στον πίνακα διαχείρισης, εάν δεν είναι απαραίτητη.

Πηγή πληροφοριών: bleepingcomputer.com