Trend Micro ha riscontrato un’attività malevola collegata alla botnet chiamata Momentum, destinata alla piattaforma Linux su diverse architetture CPU quali ARM, MIPS, Intel e Motorola 68020 con lo scopo di eseguire attacchi DDoS.
Sfruttando diverse vulnerabilità, Momentum cerca di aprire una backdoor sul server dal quale successivamente è in grado di lanciare attacchi DDoS contro un determinato target: router, servizi web e device Iot tra i principali. Le backdoor distribuite dalla botnet Momentum sono varianti di quelle associate a Mirai tra cui Kaiten e Bashlite.
Dopo aver infettato il dispositivo, la botnet modifica i file “rc” e accedendo al server di comando e controllo (C&C) si connette al canale IRC (Internet Relay Chat) #HellRoom per registrarsi e accettare comandi. Il protocollo IRC è il principale metodo di comunicazione con i server di comando e controllo (C&C).
“Gli operatori botnet possono quindi controllare i sistemi infetti inviando messaggi al canale IRC. Una volta stabilite le linee di comunicazione, Momentum può utilizzare diversi comandi per attaccare utilizzando i dispositivi compromessi. In particolare, Momentum può utilizzare ben 36 metodi diversi per attacchi di tipo DoS. Oltre agli attacchi DoS, Momentum è anche in grado di eseguire altre azioni: apertura di un proxy su un IP specificato, modifica del nick del client, disabilitazione o abilitazione della pacchetto dal client e altro ancora”.
https://www.cert-pa.it/notizie/momentum-la-botnet-che-infetta-linux-e-i-device-iot/