Pesquisadores de segurança cibernética lançaram mais luz sobre um ator chinês de codinome SecShow, que foi observado conduzindo Sistema de Nomes de Domínio (DNS) em escala international desde pelo menos junho de 2023.
O adversário, de acordo com os pesquisadores de segurança da Infoblox, Dr. Renée Burton e Dave Mitchell, opera a partir da Rede de Educação e Pesquisa da China (CERNET), um projeto financiado pelo governo chinês.
“Essas investigações buscam encontrar e medir as respostas do DNS em resolvedores abertos”, disseram eles em um relatório publicado na semana passada. “O objetivo closing das operações do SecShow é desconhecido, mas as informações coletadas podem ser usadas para atividades maliciosas e são apenas para o benefício do ator.”
Dito isto, há algumas evidências que sugerem que isso pode ter sido vinculado a algum tipo de pesquisa acadêmica relacionada à “realização de medições usando técnicas de falsificação de endereço IP em domínios dentro do secshow.internet” usando a mesma técnica do Closed Resolver Undertaking.
Isto, no entanto, levanta mais questões do que respostas – incluindo no que diz respeito ao âmbito complete do projeto, ao propósito por detrás da recolha de dados, à escolha de um endereço genérico do Gmail para recolher suggestions e à falta geral de transparência.
Resolvedores abertos referem-se a servidores DNS que são capazes de aceitar e resolver nomes de domínio recursivamente para qualquer parte na Web, tornando-os prontos para exploração por malfeitores para iniciar ataques distribuídos de negação de serviço (DDoS), como um ataque de amplificação de DNS.
No centro das investigações está o uso de servidores de nomes CERNET para identificar resolvedores DNS abertos e calcular respostas DNS. Isso envolve o envio de uma consulta DNS de uma origem ainda indeterminada para um resolvedor aberto, fazendo com que o servidor de nomes controlado pelo SecShow retorne um endereço IP aleatório.
Em uma reviravolta interessante, esses servidores de nomes são configurados para retornar um novo endereço IP aleatório cada vez que a consulta é feita a partir de um resolvedor aberto diferente, um comportamento que desencadeia uma amplificação de consultas pelo produto Palo Alto Cortex Xpanse.
“O Cortex Xpanse trata o nome de domínio na consulta DNS como uma URL e tenta recuperar o conteúdo do endereço IP aleatório desse nome de domínio”, explicaram os pesquisadores. “Firewalls, incluindo Palo Alto e Verify Level, bem como outros dispositivos de segurança, realizam filtragem de URL quando recebem a solicitação do Cortex Xpanse.”
Esta etapa de filtragem inicia uma nova consulta DNS para o domínio que faz com que o servidor de nomes retorne um endereço IP aleatório diferente.
É importante notar que alguns aspectos dessas atividades de digitalização foram divulgados anteriormente pelos pesquisadores do Dataplane.org e da Unidade 42 nos últimos dois meses. Os servidores de nomes SecShow não respondem mais em meados de maio de 2024.
O SecShow é o segundo ator de ameaças ligado à China, depois do Muddling Meerkat, a realizar atividades de investigação de DNS em larga escala na Web.
“As consultas confusas do Meerkat são projetadas para se misturar ao tráfego DNS international e (têm) permanecido despercebidas por mais de quatro anos, enquanto as consultas do Secshow são codificações transparentes de endereços IP e informações de medição”, disseram os pesquisadores.
Rebirth Botnet oferece serviços DDoS
O desenvolvimento ocorre quando um ator de ameaça com motivação financeira foi encontrado anunciando um novo serviço de botnet chamado Rebirth para ajudar a facilitar ataques DDoS.
O botnet DDoS-as-a-Service (DaaS) é “baseado na família de malware Mirai, e as operadoras anunciam seus serviços através do Telegram e de uma loja on-line (rebirthltd.mysellix(.)io)”, disse a equipe de pesquisa de ameaças da Sysdig. em uma análise recente.
A empresa de segurança cibernética disse que Rebirth (também conhecido como Vulcan) está focado principalmente na comunidade de videogames, alugando o botnet para outros atores em vários preços para direcionar servidores de jogos para obter ganhos financeiros. A primeira evidência do uso da botnet na natureza knowledge de 2019.
O plano mais barato, denominado Rebirth Fundamental, custa US$ 15, enquanto os níveis Premium, Superior e Diamond custam US$ 47, US$ 55 e US$ 73, respectivamente. Há também um plano Rebirth API ACCESS que é vendido por US$ 53.
O malware Rebirth oferece suporte à funcionalidade para lançar ataques DDoS sobre protocolos TCP e UDP, como inundação TCP ACK, inundação TCP SYN e inundação UDP.
Esta não é a primeira vez que servidores de jogos são alvo de botnets DDoS. Em dezembro de 2022, a Microsoft divulgou detalhes de outro botnet chamado MCCrash, projetado para atingir servidores privados do Minecraft.
Então, em maio de 2023, a Akamai detalhou uma botnet DDoS de aluguel conhecida como Darkish Frost que foi observada lançando ataques DDoS contra empresas de jogos, provedores de hospedagem de servidores de jogos, streamers on-line e até mesmo outros membros da comunidade de jogos.
“Com uma botnet como o Rebirth, um indivíduo é capaz de fazer DDoS no servidor do jogo ou em outros jogadores em um jogo ao vivo, causando falhas e lentidão nos jogos ou atrasos ou falhas nas conexões de outros jogadores”, disse Sysdig.
“Isso pode ser motivado financeiramente para usuários de serviços de streaming como o Twitch, cujo modelo de negócios depende de um participant de streaming ganhar seguidores; isso essencialmente fornece uma forma de renda por meio da monetização de um jogo quebrado.”
A empresa sediada na Califórnia postulou que possíveis clientes do Rebirth também poderiam usá-lo para realizar trolling DDoS (também conhecido como trolling estressante), em que ataques são lançados contra servidores de jogos para interromper a experiência de jogadores legítimos.
As cadeias de ataque que distribuem o malware envolvem a exploração de falhas de segurança conhecidas (por exemplo, CVE-2023-25717) para implantar um script bash que se encarrega de baixar e executar o malware do botnet DDoS, dependendo da arquitetura do processador.
O canal Telegram associado ao Rebirth foi apagado para remover todas as postagens antigas, com uma mensagem postada em 30 de maio de 2024, dizendo “Em breve estaremos de volta (sic).” Quase três horas depois, eles anunciaram um serviço de hospedagem à prova de balas chamado “hospedagem à prova de balas(.)xyz”.
