Nuestros sensores y honeypots desplegados en Latinoamérica han comenzado a registrar una explotación masiva de instancias F5 BIG-IP vulnerables a CVE-2021-22986.
El objetivo de los actores de amenaza es comprometer los servidores para instalar mineros de criptomonedas.
La Primera Oleada
La primera oleada de ataques detectados (21-03-2021 23:55) realiza la descarga y ejecución desde http://118[.]107[.]43[.]174/upload/files/run[.]sh.

La descarga activa al momento de escribir este post.

Contenido del archivo run.sh, el cual ejecuta el proceso de instalación del minero.

La Segunda Oleada
La segunda oleada de ataques detectados (22-03-2021 06:55) realiza la descarga desde http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt para luego ejecutar el binario en una segunda explotación.

Contenido de nexusa.txt.


Contenido de http://27[.]1[.]1[.]34:8080/docs/solr[.]sh.

Configuración del minero desde http://136[.]243[.]19[.]213:8885/docs/config[.]json.

Para hacer una estimación del alcance de estas botnets, revisamos el sitio pastebin que se encuentra dentro del proceso de instalación el cual muestra un total de 10.435 visitas.

Indicadores de Compromiso
1er Ataque:
http://118[.]107[.]43[.]174/upload/files/run[.]sh
http://118[.]107[.]43[.]174/upload/files/xmrig[.]tar[.]gz
2do Ataque:
http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt
http://136[.]243[.]19[.]213:8885/docs/config[.]json
http://222[.]122[.]47[.]27:2143/auth/java[.]exe
http://27[.]1[.]1[.]34:8080/docs/solr[.]sh
IPs origen:
- 45.83.29.58
- 222.108.2.20
- 37.120.194.100
- 176.222.34.116
- 132.145.111.134
- 173.82.240.245
- 176.222.34.116
- 173.237.207.45
- 104.233.164.29
- 139.162.186.127
- 35.235.96.53
- 53.96.235.35
- 13.56.200.228
- 34.82.84.224
- 15.228.52.25
- 45.56.89.140
- 35.203.110.60
- 159.89.150.40
- 45.33.71.63
- 119.236.147.84
- 54.253.20.132
- 157.175.47.23
- 15.236.131.189
- 223.75.252.90
- 185.89.250.187
- 47.75.102.144
Recomendaciones de Seguridad
Instalara el parche de seguridad directo del sitio del fabricante: https://support.f5.com/csp/article/K03009991 Seguiremos informando. Buena semana para todos!

Threat Researcher en CronUp Ciberseguridad
Líder Red Team & Cyber Threat Intelligence.