Botnet

Alerta: Descubierta Nueva Botnet Andoryu Explotando Vulnerabilidad en Ruckus

Descubrimiento de la Botnet Andoryu

Se ha detectado un nuevo botnet, denominada Andoryu, que aprovecha un fallo de seguridad crítico identificado en el panel de administración inalámbrico Ruckus para infiltrarse en dispositivos susceptibles. Esta vulnerabilidad, catalogada como CVE-2023-25717 con un puntaje CVSS de 9.8, se deriva de un manejo inapropiado de las solicitudes HTTP, lo que facilita una ejecución de código remoto no autenticada y un compromiso completo de los dispositivos de acceso inalámbrico (AP).

Comunicación de Andoryu con C2 y Expansión de su Arsenal

Andoryu

Andoryu, documentado por primera vez por la empresa de ciberseguridad china Qianxin en febrero, tiene la capacidad de interactuar con servidores de comando y control (C2) utilizando el protocolo Socks5. Aunque se sabe que el malware explota vulnerabilidades de ejecución de código remoto en GITLAB (CVE-2021-22205) y Lilin DVR para su propagación, la adición de CVE-2023-25717 demuestra que Andoryu está ampliando su arsenal de explotación para comprometer más dispositivos en la botnet.

Amenaza en Acción: Ataques DDoS y Comunicación con C2

Botnet

La botnet Andoryu contiene módulos de ataque DDoS para diferentes protocolos y se comunica con su servidor C2 utilizando proxies de Socks5. Esta información fue compartida por la investigadora de Fortinet Fortiguard Labs, Cara Lin, quien agregó que la última campaña comenzó a fines de abril de 2023.

Explotación de la Vulnerabilidad de Ruckus

Un análisis detallado de la cadena de ataque ha revelado que, una vez que se utiliza la vulnerabilidad de Ruckus para acceder a un dispositivo, se descarga un script de un servidor remoto en el dispositivo comprometido para su propagación. El malware también establece contacto con un servidor C2 y espera instrucciones para lanzar un ataque DDoS contra objetivos de interés utilizando protocolos como ICMP, TCP y UDP.

La Economía del Ataque DDoS

El costo asociado con la ejecución de dichos ataques se publica en un canal de Telegram del vendedor, con planes mensuales que varían de $90 a $115 dependiendo de la duración.

Los Botnets y la Creciente Amenaza de Ciberseguridad

La amenaza de las botnets como Andoryu y Rapperbot, que ha incorporado funcionalidad de criptojacking para aprovechar los sistemas Intel X64 comprometidos, es cada vez mayor. Estas campañas se han centrado principalmente en los dispositivos IoT, utilizando credenciales SSH o Telnet débiles o predeterminadas para expandir la botnet y lanzar ataques DDoS.