AndoryuBot, segnalato un aumento nell’attività della nuova Botnet DDoS

I ricercatori di FortiGuard Labs hanno osservato nel mese di aprile un picco nell’attività associata a una botnet DDoS tracciata come AndoryuBot. La botnet apparsa per la prima volta nel febbraio 2023 avrebbe tentato di sfruttare la vulnerabilità tracciata come CVE-2023-25717, per l’esecuzione di codice in modalità remota su dispositivi Access Point Ruckus con versione Ruckus Wireless Admin 10.4 e precedenti.

Attività AndoryuBot (Fonte FortiGuard)

La vulnerabilità è dovuta alla gestione impropria di una richiesta HTTP predisposta. Un utente malintenzionato remoto autenticato potrebbe sfruttare la vulnerabilità inviando richieste HTTP predisposte al server di destinazione. Uno sfruttamento riuscito potrebbe comportare la totale compromissione dei dispositivi interessati. La vulnerabilità ha un punteggio base CVSS di 9,8“. Si legge nell’avviso FortiGuard.

L’infezione

Una volta che un dispositivo bersaglio viene compromesso, AndoryuBot scaricherebbe uno script dall’URL http[:]//163[.]123[.]142[.]146 per un’ulteriore propagazione iniziando a comunicare con il proprio server C2 (45[.]153[.]243[.]39[:]10333) tramite il protocollo SOCKS5. Dopo una rapida fase di aggiornamento con ulteriori metodi DDoS resta in attesa di ricevere i comandi per l’attacco.

Script per il download (Fonte FortiGuard)

I metodi di attacco DDos

Il bot supporterebbe più tecniche di attacco DDoS. Sarebbero previsti ben 12 metodi: tcp-raw, tcp-socket, tcp-cnc, tcp-handshake, udp-plain, udp-game, udp-ovh, udp-raw, udp-vse, udp-dstat, udp-bypass e icmp-echo.

Metodi di attacco DDoS previsti (Fonte FortiGuard)

Una volta impostato il canale di comunicazione, il client attenderebbe un comando dal server C2 per lanciare l’attacco DDoS su un indirizzo IP e un numero di porta specifici.

Misure di mitigazione

Essendo pubblicamente disponibile, secondo i ricercatori di Fortinet, un codice Proof-of-Concept (PoC) per questa vulnerabilità, è fortemente consigliabile, agli utenti interessati, l’installazione della correzione resa disponibile dal fornitore Ruckus.

La variante analizzata dai ricercatori si rivolgerebbe a più architetture, tra cui arm, m68k, mips, mpsl, sh4, spc e x86.

La botnet è stata pubblicizzata su un canale Telegram e YouTube.

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.