Blog

Se observa un aumento en las muestras de Botnet Miori, dirigida a los dispositivos F5 Big-IP (CVE-2022-1388) – Instancia TTP – Paquete de búsqueda – Regla YARA – Validado TTP.

El 12 de mayo de 2022, el cazador de amenazas @0xrb, declaró que observó una muestra de malware de Botnet Miori que contenía un código de exploración dirigido a CVE-2022-1388, una vulnerabilidad existente en dispositivos F5 Big-IP, el malware de la red de Bots Miori se ha relacionado con ataques que explotan el error del marco ThinkPHP en 2018. Según informes de código abierto, esta red de bots comparte código con Mirai. Una variante de 2019 de Miori y que implementó un mecanismo de protección que terminaría las conexiones C2, si no se proporciona una cadena específica.

Recientemente se enviaron dos muestras de Miori a MalwareBazaar (SHA256: 2684c02ad85a92e0563c09b6ca3645b095e0138270d552509c2bdffbdddf2d2f y SHA256: 209f58253fd2db0dedfa6b6d7b1bcec092fd2713fa87be3de91ac273fa8c3de91ac271e87c3de91ac).

Un análisis de estas muestras arrojó tasas de detección medias en VirusTotal, mientras que Intezer Analyze identificó las muestras como Mirai. El análisis de Sandbox detectó las muestras como Mirai a través de una regla YARA activada o detectó las muestras como «limpias» cuando se ejecutan en un entorno Linux. Ambas muestras intentaron conectarse a al menos otras 100 direcciones IP y se observaron usando la llamada al sistema «uname» para consultar datos del kernel, posiblemente en un intento de realizar una evasión de defensa.

Mientras creaba una regla YARA para detectar Miori, una investigación descubrió una dirección IP codificada: 2.56.56[.]162. Una búsqueda retroactiva realizada con la regla adjunta respondió con 152 muestras únicas (incluidas las que se usaron para crear la regla YARA) y descubrió que todas las muestras incluían una dirección IP codificada.

Se identificaron dos direcciones IP en casi todas las muestras devueltas: 2.56.56[.]162 y 195.58.38[.]253. Además, se descubrió que todas las muestras menos 6, se enviaron al repositorio de malware después de abril de 2022, y 5 de las 6 restantes se enviaron en 2019 (aproximadamente la última vez que, según se informa, se observó a Miori en la naturaleza).

Este aumento reciente en los envíos de Miori a los repositorios de malware sugiere que actualmente se está llevando a cabo una nueva campaña de botnet Miori. Estas muestras se escribieron para operar con casi 10 arquitecturas diferentes, algunas de las cuales indican que la muestra está destinada a dispositivos IoT en función de su arquitectura (es decir, arquitecturas MIPS y Motorola).