Một biến thể của botnet Mirai đang nhắm mục tiêu đến hơn hai mươi lỗ hổng nhằm chiếm quyền kiểm soát các thiết bị D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear và MediaTek để cài cắm botnet và sử dụng chúng cho các cuộc tấn công từ chối dịch vụ (DDoS).
Phần mềm độc hại được phát hiện bởi các nhà nghiên cứu Unit 42 của Palo Alto Networks trong hai chiến dịch đang diễn ra bắt đầu vào ngày 14 tháng 3 và tăng đột biến vào tháng 4 và tháng 6.
Trong một báo cáo gần đây, các nhà nghiên cứu cảnh báo rằng những kẻ phát triển botnet đang bổ sung công cụ khai thác cho các lỗ hổng có thể khai thác.
Tổng cộng, phần mềm độc hại nhắm mục tiêu vào ít nhất 22 lỗ hổng bảo mật đã biết trong các sản phẩm khác nhau, bao gồm bộ định tuyến, DVR, NVR, thiết bị truyền thông WiFi, hệ thống giám sát nhiệt, hệ thống kiểm soát truy cập và hệ thống giám sát sản xuất điện từ năng lượng mặt trời.
Dưới đây là danh sách đầy đủ các lỗ hổng và sản phẩm bị phần mềm độc hại nhắm mục tiêu mà các nhà nghiên cứu đã xác định được.
Danh sách các lỗ hổng bị khai thác (Palo Alto Networks)
Trong số đó, CVE-2023-1389, ảnh hưởng đến bộ định tuyến WiFi TP-Link Archer A21 (AX1800), đã được ZDI báo cáo rằng lỗi này đã bị khai thác từ phần mềm độc hại Mirai kể từ cuối tháng 4. Không rõ liệu cả hai có đề cập đến cùng một hoạt động hay không.
Chi tiết tấn công
Cuộc tấn công bắt đầu bằng việc khai thác một trong những lỗ hổng đã đề cập, tạo cơ sở cho việc thực thi tập lệnh shell từ một nguồn bên ngoài.
Tập lệnh này sẽ tải xuống phần mềm botnet client trên thiết bị nạn nhân. Sau khi ứng dụng bot được thực thi, tệp tải xuống sẽ bị xóa đi nhằm loại bỏ các dấu vết lây nhiễm để làm giảm khả năng bị phát hiện.
So với các biến thể Mirai đang hoạt động, biến thể này truy cập trực tiếp vào các chuỗi được mã hóa trong phần .rodata thay vì thiết lập một string table để lấy cấu hình của máy khách botnet.
Cách tiếp cận này bỏ qua quá trình khởi tạo string table được mã hóa, mang lại cho phần mềm độc hại tốc độ và khả năng ‘tàng hình’, đồng thời làm giảm khả năng bị các công cụ bảo mật phát hiện.
Unit 42 cũng lưu ý rằng biến thể Mirai này không có khả năng dò quét thông tin đăng nhập telnet/SSH, vì vậy việc lây nhiễm của nó hoàn toàn phụ thuộc vào các tác nhân đe dọa khai thác các lỗ hổng theo cách thủ công. Các dấu hiệu lây nhiễm phần mềm độc hại botnet trên thiết bị IoT có thể bao gồm thiết bị quá nóng, thay đổi cài đặt/cấu hình, ngắt kết nối thường xuyên và giảm hiệu suất tổng thể.
Để giảm thiểu nguy cơ bị lây nhiễm, người dùng nên áp dụng bản cập nhật firmware mới nhất có sẵn từ các nhà cung cấp hoặc nhà sản xuất thiết bị, thay đổi thông tin đăng nhập mặc định thành thông tin khó đoán, đồng thời thiết lập hạn chế truy cập đến hệ thống quản trị từ xa.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Hàng triệu kho lưu trữ GitHub có thể dễ bị tấn công RepoJacking, có thể cho phép các tác nhân đe dọa thực hiện các cuộc tấn công chuỗi cung ứng gây ảnh hưởng đến số lượng lớn người dùng.
Tín nhiệm mạng | Microsoft cho biết các thiết bị Linux và Internet of Things (IoT) có kết nối với Internet đang bị nhắm mục tiêu tấn công trong một chiến dịch khai thác tiền điện tử mới được phát hiện gần đây.
Tín nhiệm mạng | Apple đã phát hành một loạt bản cập nhật cho iOS, iPadOS, macOS, watchOS và trình duyệt Safari để giải quyết các lỗ hổng mà hãng cho biết là đã bị khai thác trong thực tế.
Tín nhiệm mạng | Hơn 101.000 tài khoản người dùng ChatGPT đã bị đánh cắp bởi mã độc đánh cắp thông tin trong năm qua.
Tín nhiệm mạng | Ba ứng dụng Android trên Google Play đã được các tác nhân đe dọa sử dụng để thu thập các thông tin như dữ liệu vị trí và danh sách liên hệ từ các thiết bị được nhắm mục tiêu.
Tín nhiệm mạng | Một mã độc đánh cắp thông tin mới có tên 'Mystic Stealer', đã được quảng bá trên các diễn đàn hack và thị trường darknet kể từ tháng 4 năm 2023, nhanh chóng thu hút được sự chú ý trong cộng đồng tội phạm mạng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
