La empresa de seguridad informática Akamai ha revelado recientemente una nueva operación de ataque de botnet llamada Hail Cock, en la que los atacantes se enfocan en los dispositivos de vigilancia en red DS-2105 Pro de la compañía taiwanesa Digiever, aprovechando una vulnerabilidad de ejecución remota de código (RCE) que aún no ha sido asignada con un número CVE. Esta vulnerabilidad permite a los atacantes propagar malware malicioso en los dispositivos.
Hail Cock Botnet es una variante maliciosa basada en Mirai, que utiliza algoritmos de cifrado ChaCha20 y XOR y puede propagarse en múltiples arquitecturas, incluyendo x86, ARM y MIPS.
La vulnerabilidad en los DVR de Digiever fue descubierta por investigadores de seguridad de TXOne Networks durante una prueba de penetración, cuando se expuso el rango de direcciones IP. Se mencionó que esta vulnerabilidad afecta a los dispositivos DS-2105 Pro y a varios otros DVR.
Los atacantes pueden inyectar comandos como parámetros en el parámetro ntp (ver imagen 1), utilizando comandos como curl y chmod, y utilizando ” **dirección IP**:80/cfg_system_time.htm” como encabezado HTTP Referer en una solicitud HTTP POST, para conectarse a un servidor remoto de alojamiento de malware basado en Mirai.
Imagen 1: Carga útil efectiva para la vulnerabilidad de RCE de DigiEver (decodificación de URL). Fuente de la imagen: Akamai.
Además de los DVR de Digiever, los investigadores de Akamai también descubrieron que Hail Cock también se enfoca en otras vulnerabilidades de inyección de comandos remotos en dispositivos de Internet de las cosas, como TPLink (CVE-2023-1389), Teltonika (CVE-2018-17532) y Tenda HG6 v3.3.0 (CVE-2022-30425).
A través de la observación en un sandbox, se descubrió que los atacantes crean una tarea cron para programar la ejecución del malware malicioso en un momento específico, descargando y ejecutando un script de shell desde el dominio “hailcocks[.]ru” (ver imagen 2). Una vez ejecutado, el malware se conecta a más hosts, en línea con el comportamiento típico de Mirai de fuerza bruta en Telnet y SSH.
Imagen 2: Persistencia a través de crontab. Fuente de la imagen: Akamai.
Un investigador de seguridad independiente en Japón observó la función FUN_00404960 en Hail Cock, utilizando operaciones XOR para descifrar una cadena cifrada, revelando la cadena “expand 32-byte k”, que es una constante conocida en algoritmos de cifrado como Salsa20 y ChaCha20. Esto indica que la función marcada como “FUN_00404960” es responsable de descifrar la cadena (ver imagen 3).
Imagen 3: Descifrado con Salsa20 o ChaCha20. Fuente de la imagen: Akamai.
Aunque el uso de métodos de descifrado más complejos no es algo nuevo, demuestra que los operadores de botnets basados en Mirai están evolucionando y desarrollando tácticas y técnicas constantemente.
Los ataques a dispositivos antiguos y conectados a la red están aumentando en frecuencia, ya que los fabricantes dejan de proporcionar actualizaciones de software y parches de seguridad para dispositivos que han llegado al final de su ciclo de vida útil (EOL), lo que los convierte en objetivos principales para los atacantes. Para reducir el riesgo de manera efectiva, los usuarios deben actualizar sus dispositivos vulnerables a modelos más nuevos lo antes posible.