🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Mirai botnet nhắm mục tiêu vào 22 lỗ hổng trong các thiết bị D-Link, Zyxel, Netgear

23/06/2023

Một biến thể của botnet Mirai đang nhắm mục tiêu đến hơn hai mươi lỗ hổng nhằm chiếm quyền kiểm soát các thiết bị D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear và MediaTek để cài cắm botnet và sử dụng chúng cho các cuộc tấn công từ chối dịch vụ (DDoS).

Phần mềm độc hại được phát hiện bởi các nhà nghiên cứu Unit 42 của Palo Alto Networks trong hai chiến dịch đang diễn ra bắt đầu vào ngày 14 tháng 3 và tăng đột biến vào tháng 4 và tháng 6.

Trong một báo cáo gần đây, các nhà nghiên cứu cảnh báo rằng những kẻ phát triển botnet đang bổ sung công cụ khai thác cho các lỗ hổng có thể khai thác.

Tổng cộng, phần mềm độc hại nhắm mục tiêu vào ít nhất 22 lỗ hổng bảo mật đã biết trong các sản phẩm khác nhau, bao gồm bộ định tuyến, DVR, NVR, thiết bị truyền thông WiFi, hệ thống giám sát nhiệt, hệ thống kiểm soát truy cập và hệ thống giám sát sản xuất điện từ năng lượng mặt trời.

Dưới đây là danh sách đầy đủ các lỗ hổng và sản phẩm bị phần mềm độc hại nhắm mục tiêu mà các nhà nghiên cứu đã xác định được.

Danh sách các lỗ hổng bị khai thác (Palo Alto Networks)

Trong số đó, CVE-2023-1389, ảnh hưởng đến bộ định tuyến WiFi TP-Link Archer A21 (AX1800), đã được ZDI báo cáo rằng lỗi này đã bị khai thác từ phần mềm độc hại Mirai kể từ cuối tháng 4. Không rõ liệu cả hai có đề cập đến cùng một hoạt động hay không.

Chi tiết tấn công

Cuộc tấn công bắt đầu bằng việc khai thác một trong những lỗ hổng đã đề cập, tạo cơ sở cho việc thực thi tập lệnh shell từ một nguồn bên ngoài.

Tập lệnh này sẽ tải xuống phần mềm botnet client trên thiết bị nạn nhân. Sau khi ứng dụng bot được thực thi, tệp tải xuống sẽ bị xóa đi nhằm loại bỏ các dấu vết lây nhiễm để làm giảm khả năng bị phát hiện.

So với các biến thể Mirai đang hoạt động, biến thể này truy cập trực tiếp vào các chuỗi được mã hóa trong phần .rodata thay vì thiết lập một string table để lấy cấu hình của máy khách botnet.

Cách tiếp cận này bỏ qua quá trình khởi tạo string table được mã hóa, mang lại cho phần mềm độc hại tốc độ và khả năng ‘tàng hình’, đồng thời làm giảm khả năng bị các công cụ bảo mật phát hiện.

Unit 42 cũng lưu ý rằng biến thể Mirai này không có khả năng dò quét thông tin đăng nhập telnet/SSH, vì vậy việc lây nhiễm của nó hoàn toàn phụ thuộc vào các tác nhân đe dọa khai thác các lỗ hổng theo cách thủ công. Các dấu hiệu lây nhiễm phần mềm độc hại botnet trên thiết bị IoT có thể bao gồm thiết bị quá nóng, thay đổi cài đặt/cấu hình, ngắt kết nối thường xuyên và giảm hiệu suất tổng thể.

Để giảm thiểu nguy cơ bị lây nhiễm, người dùng nên áp dụng bản cập nhật firmware mới nhất có sẵn từ các nhà cung cấp hoặc nhà sản xuất thiết bị, thay đổi thông tin đăng nhập mặc định thành thông tin khó đoán, đồng thời thiết lập hạn chế truy cập đến hệ thống quản trị từ xa.

Nguồn: bleepingcomputer.com.

scrolltop