Nuestros sensores y honeypots desplegados en Latinoamérica han comenzado a registrar una explotación masiva de instancias F5 BIG-IP vulnerables a CVE-2021-22986.
El objetivo de los actores de amenaza es comprometer los servidores para instalar mineros de criptomonedas.
LA PRIMERA OLEADA
La primera oleada de ataques detectados (21-03-2021 23:55) realiza la descarga y ejecución desde http://118[.]107[.]43[.]174/upload/files/run[.]sh.
La descarga activa al momento de escribir este post.
Contenido del archivo run.sh, el cual ejecuta el proceso de instalación del minero.
LA SEGUNDA OLEADA
La segunda oleada de ataques detectados (22-03-2021 06:55) realiza la descarga desde http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt para luego ejecutar el binario en una segunda explotación.
Contenido de nexusa.txt.
Contenido de http://27[.]1[.]1[.]34:8080/docs/solr[.]sh.
Configuración del minero desde http://136[.]243[.]19[.]213:8885/docs/config[.]json.
Para hacer una estimación del alcance de estas botnets, revisamos el sitio pastebin que se encuentra dentro del proceso de instalación el cual muestra un total de 10.435 visitas.
INDICADORES DE COMPROMISO
1er Ataque:
http://118[.]107[.]43[.]174/upload/files/run[.]sh
http://118[.]107[.]43[.]174/upload/files/xmrig[.]tar[.]gz
2do Ataque:
http://124[.]158[.]4[.]235:8080/docs/nexusa[.]txt
http://136[.]243[.]19[.]213:8885/docs/config[.]json
http://222[.]122[.]47[.]27:2143/auth/java[.]exe
http://27[.]1[.]1[.]34:8080/docs/solr[.]sh
IPs origen:
45.83.29.58
222.108.2.20
37.120.194.100
176.222.34.116
132.145.111.134
173.82.240.245
176.222.34.116
173.237.207.45
104.233.164.29
139.162.186.127
35.235.96.53
53.96.235.35
13.56.200.228
34.82.84.224
15.228.52.25
45.56.89.140
35.203.110.60
159.89.150.40
45.33.71.63
119.236.147.84
54.253.20.132
157.175.47.23
15.236.131.189
223.75.252.90
185.89.250.187
47.75.102.144
RECOMENDACIÓN DE SEGURIDAD
Instalara el parche de seguridad directo del sitio del fabricante: https://support.f5.com/csp/article/K03009991
Seguiremos informando,
Buena semana para todos!