Los investigadores de ciberseguridad han arrojado más luz sobre un actor chino con nombre en código SecShow al que se ha observado realizando un sistema de nombres de dominio (DNS) a escala global desde al menos junio de 2023. El adversario, según los investigadores de seguridad de Infoblox, Dr. Renée Burton y Dave Mitchell, opera de la Red de Educación e Investigación de China (CERNET), un proyecto financiado por el gobierno chino. «Estas sondas buscan encontrar y medir respuestas de DNS en resolutores abiertos», dijeron en un informe publicado la semana pasada. «Se desconoce el objetivo final de las operaciones de SecShow, pero la información que se recopila puede usarse para actividades maliciosas y es sólo para el beneficio del actor». Dicho esto, hay alguna evidencia que sugiere que puede haber estado vinculado a algún tipo de investigación académica relacionada con «realizar mediciones utilizando técnicas de suplantación de direcciones IP en dominios dentro de secshow.net» utilizando la misma técnica que el Proyecto Closed Resolver. Sin embargo, esto plantea más preguntas de las que responde, incluso en lo que respecta al alcance total del proyecto, el propósito detrás de la recopilación de datos, la elección de una dirección genérica de Gmail para recopilar comentarios y la falta general de transparencia. Los resolutores abiertos se refieren a servidores DNS que son capaces de aceptar y resolver nombres de dominio de forma recursiva para cualquier parte en Internet, lo que los hace aptos para ser explotados por malos actores para iniciar ataques distribuidos de denegación de servicio (DDoS), como un ataque de amplificación de DNS. En el centro de las investigaciones está el uso de servidores de nombres CERNET para identificar solucionadores de DNS abiertos y calcular las respuestas de DNS. Esto implica enviar una consulta DNS desde un origen aún indeterminado a un solucionador abierto, lo que hace que el servidor de nombres controlado por SecShow devuelva una dirección IP aleatoria. En un giro interesante, estos servidores de nombres están configurados para devolver una nueva dirección IP aleatoria cada vez que la consulta se realiza desde un solucionador abierto diferente, un comportamiento que desencadena una amplificación de las consultas por parte del producto Palo Alto Cortex Xpanse. «Cortex Xpanse trata el nombre de dominio en la consulta DNS como una URL e intenta recuperar contenido de la dirección IP aleatoria para ese nombre de dominio», explicaron los investigadores. «Los cortafuegos, incluidos Palo Alto y Check Point, así como otros dispositivos de seguridad, realizan filtrado de URL cuando reciben la solicitud de Cortex Xpanse». Este paso de filtrado inicia una nueva consulta de DNS para el dominio que hace que el servidor de nombres devuelva una dirección IP aleatoria diferente. Es importante tener en cuenta que algunos aspectos de estas actividades de escaneo fueron revelados previamente por Dataplane.org y los investigadores de la Unidad 42 durante los últimos dos meses. Los servidores de nombres de SecShow ya no responden a mediados de mayo de 2024. SecShow es el segundo actor de amenazas vinculado a China, después de Mddling Meerkat, que realiza actividades de sondeo de DNS a gran escala en Internet. «Las confusas consultas de Meerkat están diseñadas para mezclarse con el tráfico DNS global y [have] permanecieron desapercibidos durante más de cuatro años, mientras que las consultas de Secshow son codificaciones transparentes de direcciones IP e información de medición», dijeron los investigadores. Rebirth Botnet ofrece servicios DDoS El desarrollo se produce cuando se descubrió que un actor de amenazas motivado financieramente anunciaba un nuevo servicio de botnet llamado Rebirth para ayudar a facilitar los ataques DDoS La botnet DDoS-as-a-Service (DaaS) está «basada en la familia de malware Mirai, y los operadores anuncian sus servicios a través de Telegram y una tienda en línea (rebirthltd.mysellix).[.]io),», dijo el equipo de investigación de amenazas de Sysdig en un análisis reciente. La firma de ciberseguridad dijo que Rebirth (también conocido como Vulcan) se centra principalmente en la comunidad de videojuegos, alquilando la botnet a otros actores a varios precios para apuntar a servidores de juegos con fines financieros. La evidencia más temprana del uso de la botnet en la naturaleza data de 2019. El plan más barato, denominado Rebirth Basic, cuesta $15, mientras que los niveles Premium, Advanced y Diamond cuestan $47, $55 y $73 respectivamente. Plan API ACCESS que se vende por $ 53 El malware Rebirth admite la funcionalidad para lanzar ataques DDoS a través de protocolos TCP y UDP, como TCP ACK Flood, TCP SYN Flood y UDP Flood. Esta no es la primera vez que los servidores de juegos son atacados por DDoS. botnets En diciembre de 2022, Microsoft reveló detalles de otra botnet llamada MCCrash que está diseñada para atacar servidores privados de Minecraft. Luego, en mayo de 2023, Akamai detalló una botnet de alquiler DDoS conocida como Dark Frost que se ha observado lanzando ataques DDoS contra empresas de juegos. , proveedores de alojamiento de servidores de juegos, transmisores en línea e incluso otros miembros de la comunidad de juegos. «Con una botnet como Rebirth, un individuo puede realizar DDoS al servidor del juego o a otros jugadores en un juego en vivo, provocando que los juegos fallen y se ralenticen o que las conexiones de otros jugadores se retrasen o bloqueen», dijo Sysdig. «Esto puede tener una motivación financiera para los usuarios de servicios de streaming como Twitch, cuyo modelo de negocio se basa en que un reproductor de streaming gane seguidores; esto esencialmente proporciona una forma de ingresos a través de la monetización de un juego roto». La compañía con sede en California postuló que los clientes potenciales de Rebirth también podrían estar usándolo para llevar a cabo trolling DDoS (también conocido como trolling estresante), en el que se lanzan ataques contra servidores de juegos para interrumpir la experiencia de los jugadores legítimos. Las cadenas de ataques que distribuyen el malware implican la explotación de fallas de seguridad conocidas (por ejemplo, CVE-2023-25717) para implementar un script bash que se encarga de descargar y ejecutar el malware de botnet DDoS según la arquitectura del procesador. Desde entonces, el canal de Telegram asociado con Rebirth se borró para eliminar todas las publicaciones antiguas, con un mensaje publicado el 30 de mayo de 2024 que decía: «Pronto volveremos [sic].» Casi tres horas después, anunciaron un servicio de alojamiento a prueba de balas llamado «alojamiento a prueba de balas».[.]xyz.» ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.