Mirai botnet nhắm mục tiêu vào 22 lỗ hổng trong các thiết bị D-Link, Zyxel, Netgear
Một biến thể của botnet Mirai đang nhắm mục tiêu gần hai chục lỗ hổng nhằm chiếm quyền kiểm soát các thiết bị D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear và MediaTek để sử dụng chúng cho các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Phần mềm độc hại đã được xác định bởi các nhà nghiên cứu Unit 42 của Palo Alto Networks trong hai chiến dịch đang diễn ra bắt đầu vào ngày 14 tháng 3 và tăng đột biến vào tháng 4 và tháng 6.
Trong một báo cáo ngày 22 tháng 6, các nhà nghiên cứu cảnh báo rằng các nhà phát triển botnet tiếp tục thêm mã cho các lỗ hổng có thể khai thác.
Timeline phát triển chiến dịch (Palo Alto Networks)
Phần mềm độc hại nhắm mục tiêu tổng cộng không ít hơn 22 vấn đề bảo mật đã biết trong các sản phẩm được kết nối khác nhau, bao gồm bộ định tuyến, DVR, NVR, khóa liên lạc WiFi, hệ thống giám sát nhiệt, hệ thống kiểm soát truy cập và màn hình phát điện mặt trời.
Dưới đây là danh sách đầy đủ các lỗ hổng và sản phẩm bị phần mềm độc hại nhắm mục tiêu trong phiên bản mới nhất mà các nhà nghiên cứu Unit 42 đã xác định:
Bảng lỗ hổng bị khai thác (Palo Alto Networks)
Một trong những lỗ hổng này, CVE-2023-1389, ảnh hưởng đến bộ định tuyến WiFi TP-Link Archer A21 (AX1800) và được ZDI báo cáo là đã bị khai thác từ phần mềm độc hại Mirai kể từ cuối tháng Tư. Tuy nhiên, không rõ liệu cả hai có đề cập đến cùng một hoạt động hay không.
Chi tiết cuộc tấn công
Cuộc tấn công bắt đầu bằng việc khai thác một trong những lỗ hổng đã đề cập, tạo cơ sở cho việc thực thi tập lệnh shell từ một tài nguyên bên ngoài.
Tập lệnh này sẽ tải xuống ứng dụng khách botnet phù hợp với kiến trúc của thiết bị bị xâm nhập, bao gồm armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k và sparc.
Sau khi ứng dụng khách bot thực thi, trình tải xuống tập lệnh shell sẽ xóa tệp của ứng dụng khách để quét các dấu vết lây nhiễm và để giảm khả năng bị phát hiện.
So với các biến thể Mirai tiêu chuẩn đang lưu hành, biến thể này truy cập trực tiếp vào các chuỗi được mã hóa trong phần .rodata thông qua một chỉ mục thay vì thiết lập một bảng chuỗi để lấy cấu hình của máy khách botnet.
Cách tiếp cận này bỏ qua quá trình khởi tạo bảng chuỗi được mã hóa, mang lại cho phần mềm độc hại tốc độ và khả năng tàng hình, đồng thời làm cho phần mềm độc hại ít có khả năng bị các công cụ bảo mật phát hiện hơn.
Truy xuất các chuỗi cấu hình (Palo Alto Networks)
Unit 42 cũng lưu ý rằng biến thể Mirai này không có khả năng brute force thông tin đăng nhập telnet/SSH, vì vậy việc phân bố của nó hoàn toàn phụ thuộc vào các nhà khai thác khai thác các lỗ hổng theo cách thủ công.
Có thể giảm nguy cơ lây nhiễm bằng cách áp dụng bản cập nhật chương trình cơ sở mới nhất có sẵn từ nhà cung cấp hoặc nhà sản xuất thiết bị, chuyển từ thông tin xác thực truy cập mặc định sang một tính năng khác mạnh và độc đáo hơn, đồng thời xóa khả năng truy cập bảng quản trị từ xa nếu không cần thiết.
Các dấu hiệu lây nhiễm phần mềm độc hại botnet trên thiết bị IoT có thể do quá tải, thay đổi cài đặt/cấu hình, ngắt kết nối thường xuyên và giảm hiệu suất tổng thể.
Nguồn: bleepingcomputer.com
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA