Biến thể phần mềm độc hại Mirai mới lây nhiễm các thiết bị Linux để xây dựng mạng botnet DDoS

mạng botnet

Một biến thể botnet Mirai mới được theo dõi là ‘V3G4’ nhắm vào 13 lỗ hổng trong các máy chủ dựa trên Linux và thiết bị IoT để sử dụng trong các cuộc tấn công DDoS (từ chối dịch vụ phân tán).

Phần mềm độc hại lây lan bằng cách ép buộc thông tin xác thực telnet/SSH yếu hoặc mặc định và khai thác các lỗ hổng được mã hóa cứng để thực hiện thực thi mã từ xa trên thiết bị đích. Khi một thiết bị bị vi phạm, phần mềm độc hại sẽ lây nhiễm vào thiết bị và tuyển dụng thiết bị đó vào nhóm botnet của nó.

Phần mềm độc hại cụ thể đã được phát hiện trong ba chiến dịch riêng biệt bởi các nhà nghiên cứu tại Palo Alto Networks ( Đơn vị 42 ), đã báo cáo việc theo dõi hoạt động độc hại từ tháng 7 năm 2022 đến tháng 12 năm 2022.

Đơn vị 42 tin rằng cả ba đợt tấn công đều bắt nguồn từ cùng một tác nhân đe dọa vì các miền C2 được mã hóa cứng chứa cùng một chuỗi, các bản tải xuống tập lệnh shell tương tự nhau và các máy khách botnet được sử dụng trong tất cả các cuộc tấn công đều có các chức năng giống hệt nhau.

Các cuộc tấn công V3G4 bắt đầu bằng việc khai thác một trong 13 lỗ hổng sau:

  • CVE-2012-4869: Thực thi lệnh từ xa FreePBX Elastix
  • Gitorious thực thi lệnh từ xa
  • CVE-2014-9727: FRITZ!Box Webcam thực thi lệnh từ xa
  • Thực thi lệnh từ xa Mitel AWC
  • CVE-2017-5173: Thực thi lệnh từ xa của Camera IP Geutebruck
  • CVE-2019-15107: Chèn lệnh Webmin
  • Thực thi lệnh tùy ý Spree Commerce
  • Thực thi lệnh từ xa của camera nhiệt FLIR
  • CVE-2020-8515: Thực thi lệnh từ xa DrayTek Vigor
  • CVE-2020-15415: Thực thi lệnh từ xa DrayTek Vigor
  • CVE-2022-36267: Airspan AirSpot thực thi lệnh từ xa
  • CVE-2022-26134: Thực thi lệnh từ xa Atlassian Confluence
  • CVE-2022-4257: Chèn lệnh Hệ thống quản lý web C-Data
Các lỗ hổng được nhắm mục tiêu bởi V3G4
Các lỗ hổng được nhắm mục tiêu bởi V3G4 (Unit 42)

Sau khi thỏa hiệp thiết bị mục tiêu, tải trọng dựa trên Mirai sẽ bị loại bỏ trên hệ thống và cố gắng kết nối với địa chỉ C2 được mã hóa cứng.

Mạng botnet cũng cố gắng chấm dứt một tập hợp các quy trình từ danh sách được mã hóa cứng, bao gồm các họ phần mềm độc hại botnet cạnh tranh khác.

Xử lý các nỗ lực ngăn chặn phần mềm độc hại
Xử lý nỗ lực ngăn chặn phần mềm độc hại (Bài 42)

Một đặc điểm phân biệt V3G4 với hầu hết các biến thể Mirai là nó sử dụng bốn khóa mã hóa XOR khác nhau thay vì chỉ một khóa, khiến cho việc đảo ngược mã của phần mềm độc hại và giải mã các chức năng của nó trở nên khó khăn hơn.

Khi lây lan sang các thiết bị khác, botnet sử dụng telnet/SSH brute-forcer cố gắng kết nối bằng thông tin đăng nhập mặc định hoặc yếu. Đơn vị 42 đã nhận thấy các biến thể phần mềm độc hại trước đó đã sử dụng cả khai thác lỗ hổng bảo mật và telnet/SSH để phát tán, trong khi các mẫu sau này không sử dụng máy quét.

Cuối cùng, các thiết bị bị xâm nhập được đưa ra các lệnh DDoS trực tiếp từ C2, bao gồm các phương thức tấn công TCP, UDP, SYN và HTTP.

Các lệnh DDoS được hỗ trợ bởi V3G4
Lệnh DDoS (Bài 42)

V3G4 có khả năng bán dịch vụ DDoS cho những khách hàng muốn gây gián đoạn dịch vụ cho các trang web hoặc dịch vụ trực tuyến cụ thể.

Tuy nhiên, biến thể này chưa được gắn với một dịch vụ cụ thể tại thời điểm này.

Như mọi khi, cách tốt nhất để bảo vệ thiết bị của bạn khỏi bị lây nhiễm giống như Mirai là thay đổi mật khẩu mặc định và cài đặt các bản cập nhật bảo mật mới nhất.

Theo BC / Biên tập AT3 EDU VN (Security365)


Bình luận

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *