Según los informes de AT&T Alien Labs, una familia de malware identificada recientemente está explorando activamente en Internet los servicios web expuestos y las contraseñas predeterminadas.
La firma que resultó de la adquisición de AlienVault por parte de AT&T llama al nuevo malware "Xwo", basado en el nombre del módulo primario de la amenaza. Probablemente relacionado con las familias de malware Xbash y MongoLock, se observó que la amenaza se ejecutaba con el nombre de xwo.exe.
Xwo, dicen los investigadores de seguridad de AT&T Alien Labs, utiliza un código basado en Python similar al de MongoLock, una pieza de ransomware que borra los servidores de MongoDB y exige que los administradores paguen un rescate para recuperar sus datos. Además, tanto Xwo como MongoLock utilizan nombres de dominio de comando y control (C&C) similares, y muestran superposiciones en la infraestructura de C&C.
Xwo, sin embargo, no incluye ransomware o capacidades de explotación, sino que solo recopila credenciales e información de acceso al servicio y envía todos los datos al C&C.
Los investigadores también descubrieron que el script Python de Xwo contiene el código copiado de XBash, el malware destructivo de Linux que se dirige a las intranets empresariales y que se cree que está conectado al actor de amenazas de Iron Group.
En este momento, Alien Labs no está seguro de si Xwo también está relacionado con Iron Group o si solo utiliza el código que se ha compartido públicamente.
Tras la ejecución, Xwo se conecta al servidor de C&C y luego comienza a escanear un rango de red proporcionado por el servidor para iniciar su actividad de reconocimiento y enviar los datos recopilados a los atacantes.
Recopila información sobre el uso de credenciales predeterminadas para los servicios FTP, MySQL, PostgreSQL, MongoDB, Redis y Memcached; Credenciales predeterminadas de Tomcat y configuraciones erróneas; SVN predeterminado y rutas Git; Git repositoryformatversion content; Detalles de PhpMyAdmin; www / rutas de respaldo; Detalles de RealVNC Enterprise Direct Connect; y accesibilidad RSYNC.
"Si bien Xwo se aleja de una variedad de características maliciosas [...], como ransomware o exploits, el uso general y el potencial que posee pueden ser perjudiciales para las redes de todo el mundo. Es probable que Xwo sea un nuevo paso hacia una capacidad de avance, y esperamos que el valor total de esta herramienta de recopilación de información se aproveche para bien en el futuro ", concluye Alien Labs.
La firma que resultó de la adquisición de AlienVault por parte de AT&T llama al nuevo malware "Xwo", basado en el nombre del módulo primario de la amenaza. Probablemente relacionado con las familias de malware Xbash y MongoLock, se observó que la amenaza se ejecutaba con el nombre de xwo.exe.
Xwo, dicen los investigadores de seguridad de AT&T Alien Labs, utiliza un código basado en Python similar al de MongoLock, una pieza de ransomware que borra los servidores de MongoDB y exige que los administradores paguen un rescate para recuperar sus datos. Además, tanto Xwo como MongoLock utilizan nombres de dominio de comando y control (C&C) similares, y muestran superposiciones en la infraestructura de C&C.
Xwo, sin embargo, no incluye ransomware o capacidades de explotación, sino que solo recopila credenciales e información de acceso al servicio y envía todos los datos al C&C.
Los investigadores también descubrieron que el script Python de Xwo contiene el código copiado de XBash, el malware destructivo de Linux que se dirige a las intranets empresariales y que se cree que está conectado al actor de amenazas de Iron Group.
En este momento, Alien Labs no está seguro de si Xwo también está relacionado con Iron Group o si solo utiliza el código que se ha compartido públicamente.
Tras la ejecución, Xwo se conecta al servidor de C&C y luego comienza a escanear un rango de red proporcionado por el servidor para iniciar su actividad de reconocimiento y enviar los datos recopilados a los atacantes.
Recopila información sobre el uso de credenciales predeterminadas para los servicios FTP, MySQL, PostgreSQL, MongoDB, Redis y Memcached; Credenciales predeterminadas de Tomcat y configuraciones erróneas; SVN predeterminado y rutas Git; Git repositoryformatversion content; Detalles de PhpMyAdmin; www / rutas de respaldo; Detalles de RealVNC Enterprise Direct Connect; y accesibilidad RSYNC.
"Si bien Xwo se aleja de una variedad de características maliciosas [...], como ransomware o exploits, el uso general y el potencial que posee pueden ser perjudiciales para las redes de todo el mundo. Es probable que Xwo sea un nuevo paso hacia una capacidad de avance, y esperamos que el valor total de esta herramienta de recopilación de información se aproveche para bien en el futuro ", concluye Alien Labs.
Fuente: https://www.securityweek.com/
No olvides Compartir...
Siguenos en twitter: @disoftin
0 Comentarios