🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Lây nhiễm botnet Moobot qua lỗ hổng trong thiết bị Hikvision

10/12/2021

Moobot, botnet kế thừa của Mirai, đang được phát tán rộng rãi thông qua việc khai thác lỗ hổng command injection trong máy chủ web của nhiều sản phẩm Hikvision.

Hikvision là nhà sản xuất camera và thiết bị giám sát của chính phủ Trung Quốc.

Lỗ hổng có mã CVE-2021-36260, cho phép tin tặc khai thác bằng cách gửi các request chứa câu lệnh độc hại tới các máy chủ dễ bị tấn công.

Hikvision đã phát hành một bản cập nhật firmware (v 210628) để vá lỗ hổng vào tháng 9 năm 2021.

Fortinet cho biết Moobot đang lạm dụng lỗ hổng này để xâm phạm các thiết bị chưa được cài đặt bản vá và trích xuất dữ liệu nhạy cảm của nạn nhân.

Quá trình lây nhiễm

Việc khai thác lỗ hổng này không yêu cầu xác thực và khá đơn giản, có thể kích hoạt bằng cách gửi tin nhắn đến một thiết bị chứa lỗ hổng.

Trong số các mã khai thác lạm dụng CVE-2021-36260, Fortinet đã phát hiện chương trình tải xuống "macHelper" đã triển khai mã độc Moobot.

Mã độc cũng sửa đổi các lệnh như "reboot" khiến lệnh không hoạt động bình thường để ngăn việc quản trị viên khởi động lại thiết bị bị xâm phạm.

Biến thể mới của Mirai

Các nhà phân tích của Fortinet đã phát hiện một số điểm chung giữa Moobot và Mirai.

Ngoài ra, Moobot còn có một số tính năng từ Satori, một biến thể Mirai khác mà kẻ phát triển nó đã bị bắt và kết án vào năm trướcMột trong những điểm tương đồng với Satori là việc ghi đè tệp "macHelper" hợp pháp bằng tệp thực thi Moobot.

Đây không phải lần đầu tiên Moobot bị phát hiện. Trước đó, các nhà nghiên cứu của Unit 42 đã phát hiện ra nó vào tháng 2 năm 2021.

Tuy nhiên, việc botnet đang khai thác các CVE mới cho thấy nó đang được phát triển và nâng cấp thêm cho các chiến dịch tấn công trong tương lai.

Moobot cung cấp dịch vụ DDoS

Các đối tượng khai thác Moobot sử dụng các thiết bị bị xâm nhập trong các cuộc tấn công DDoS đến một mục tiêu cụ thể.

Bằng cách phân tích dữ liệu thu được, Fortinet phát hiện một kênh Telegram bắt đầu cung cấp dịch vụ DDoS vào tháng 8 năm ngoái.

Thiết bị được sử dụng trong cuộc tấn công DDoS sẽ dẫn đến tăng mức tiêu thụ năng lượng và làm giảm tuổi thọ của thiết bị.

Để bảo vệ thiết bị IoT khỏi mạng botnet, người dùng nên cài đặt/cập nhật các bản vá bảo mật ngay khi có thể, cô lập thiết bị trong một mạng chuyên dụng và thay đổi thông tin đăng nhập mặc định bằng mật khẩu mạnh.

Nguồn: bleepingcomputer.com.

scrolltop