Los investigadores de seguridad de Netlab, la división de seguridad de red Qihoo 360, han publicado un informe que proporciona un análisis técnico de una botnet de IoT relativamente nueva llamada Ttint. La botnet, que los investigadores han estado monitoreando desde 2019, se ha observado usando dos vulnerabilidades de día 0 de enrutador Tenda (CVE-2018-14558, CVE-2020-10987 ) para propagar un troyano de acceso remoto (RAT) basado en el código Mirai.
Lo más notable de esta botnet es que, junto con la funcionalidad DDoS, implementa 12 funciones de acceso remoto, como proxy Socket5 para dispositivos de enrutador, manipulación del DNS del enrutador, configuración de iptables, ejecución de comandos personalizados del sistema.
“Además, en el nivel de comunicación C2, utiliza el protocolo WSS (WebSocket sobre TLS). Hacer esto puede eludir la detección de tráfico típica de Mirai a nivel de tráfico, y también proporciona una comunicación cifrada segura para C2 ”, dijeron los investigadores.
En noviembre del año pasado, los investigadores observaron que los operadores de botnets explotaban la vulnerabilidad CVE-2018-14558 en los enrutadores Tenda (que se reveló solo en julio de 2020) para implementar muestras de Ttint. Casi un año después, en agosto de 2020, el actor de amenazas fue capturado explotando otro día cero en los enrutadores Tenda. Ese mismo mes, el equipo de Netlab informó al fabricante sobre sus hallazgos, pero no recibió respuesta.
Según el informe, los enrutadores Tenda que ejecutan una versión de firmware entre AC9 y AC18 son vulnerables al ataque. El informe también proporciona indicadores de compromiso (IoC) relacionados con los ataques observados.
