Biến thể Mirai mới và phần mềm độc hại ZHtrap Botnet mới nổi lên trong tự nhiên

Các nhà nghiên cứu an ninh mạng hôm thứ Hai đã tiết lộ một làn sóng tấn công mới đang diễn ra khai thác nhiều lỗ hổng để triển khai các biến thể Mirai mới trên các thiết bị được kết nối internet.

“Sau khi khai thác thành công, những kẻ tấn công cố gắng tải xuống một tập lệnh shell độc hại, chứa các hành vi lây nhiễm khác như tải xuống và thực thi các biến thể Mirai và brute-forcers”, Đội tình báo Đe dọa của Palo Alto Networks cho biết trong một bài viết.

Các lỗ hổng bảo mật đang bị khai thác bao gồm:

  • VisualDoor – lỗ hổng chèn lệnh từ xa SonicWall SSL-VPN xuất hiện vào đầu tháng 1 này
  • CVE-2020-25506 – lỗ hổng thực thi mã từ xa trên tường lửa D-Link DNS-320 (RCE)
  • CVE-2021-27561 và CVE-2021-27562 – Hai lỗ hổng trong Quản lý thiết bị Yealink cho phép kẻ tấn công chưa được xác thực chạy các lệnh tùy ý trên máy chủ có đặc quyền root
  • CVE-2021-22502 – một lỗ hổng RCE trong Micro Focus Operation Bridge Reporter (OBR), ảnh hưởng đến phiên bản 10.40
  • CVE-2019-19356 – khai thác RCE bộ định tuyến không dây Netis WF2419 và
  • CVE-2020-26919 – lỗ hổng Netgear ProSAFE Plus RCE

SonicWall cho biết trong một tuyên bố với The Hacker News: “Việc khai thác VisualDoor được đề cập nhắm vào một lỗ hổng phần sụn SSL-VPN cũ đã được vá trên các sản phẩm cũ vào năm 2015 với các bản phát hành 7.5.1.4-43sv và 8.0.0.4-25sv”. “Nó không thể chống lại bất kỳ thiết bị SonicWall được vá đúng cách nào.”

Cũng bao gồm ba lỗ hổng tiêm lệnh chưa được tiết lộ trước đây đã được triển khai chống lại các mục tiêu không xác định, một trong số đó, theo các nhà nghiên cứu, đã được quan sát thấy cùng với một mạng botnet riêng biệt có tên MooBot .

Các cuộc tấn công được cho là đã được phát hiện trong một khoảng thời gian dài một tháng, bắt đầu từ ngày 16 tháng 2 đến gần đây nhất là ngày 13 tháng 3.

Bất kể các lỗ hổng được sử dụng để khai thác thành công, chuỗi tấn công liên quan đến việc sử dụng tiện ích wget để tải xuống tập lệnh shell từ cơ sở hạ tầng phần mềm độc hại sau đó được sử dụng để tìm nạp các tệp nhị phân Mirai , một phần mềm độc hại nổi tiếng biến các thiết bị IoT nối mạng chạy Linux thành các bot được điều khiển từ xa có thể được sử dụng như một phần của mạng botnet trong các cuộc tấn công mạng quy mô lớn.

Bên cạnh việc tải xuống Mirai, các tập lệnh shell bổ sung đã được phát hiện truy xuất các tệp thực thi để tạo điều kiện cho các cuộc tấn công brute-force đột nhập vào các thiết bị dễ bị tấn công với mật khẩu yếu.

“Lĩnh vực IoT vẫn là một mục tiêu dễ dàng tiếp cận cho những kẻ tấn công. Nhiều lỗ hổng rất dễ bị khai thác và trong một số trường hợp có thể gây ra hậu quả thảm khốc”, nhà nghiên cứu cho biết.

ZHtrap Botnet Bẫy nạn nhân mới sử dụng Honeypot

Trong một diễn biến liên quan, các nhà nghiên cứu từ công ty bảo mật Trung Quốc Netlab 360 đã phát hiện ra một mạng botnet dựa trên Mirai mới có tên ZHtrap sử dụng honeypot để thu thập thêm nạn nhân, đồng thời mượn một số tính năng từ một botnet DDoS có tên là Matryosh .

Mặc dù honeypots thường bắt chước mục tiêu của bọn tội phạm mạng để lợi dụng nỗ lực xâm nhập của chúng nhằm thu thập thêm thông tin về hoạt động của chúng, mạng botnet ZHtrap sử dụng một kỹ thuật tương tự bằng cách tích hợp một mô-đun thu thập IP quét để thu thập các địa chỉ IP được sử dụng làm mục tiêu để nhân giống sâu hơn.

Nó đạt được điều này bằng cách lắng nghe trên 23 cổng được chỉ định và xác định địa chỉ IP kết nối với các cổng này, sau đó sử dụng địa chỉ IP tích lũy để kiểm tra chúng để tìm bốn lỗ hổng để đưa vào tải trọng –

Các nhà nghiên cứu cho biết: “Sự lan truyền của ZHtrap sử dụng 4 lỗ hổng N-day, chức năng chính là DDoS và quét, đồng thời tích hợp một số tính năng backdoor” . “Zhtrap thiết lập honeypot trên thiết bị bị nhiễm, [và] chụp ảnh nhanh cho các thiết bị nạn nhân và vô hiệu hóa việc chạy các lệnh mới dựa trên ảnh chụp nhanh, do đó đạt được tính độc quyền đối với thiết bị.”

Khi đã tiếp quản các thiết bị, ZHtrap lấy tín hiệu từ mạng botnet Matryosh bằng cách sử dụng Tor để liên lạc với máy chủ điều khiển và kiểm soát để tải xuống và thực thi các tải trọng bổ sung.

Lưu ý rằng các cuộc tấn công bắt đầu từ ngày 28 tháng 2 năm 2021, các nhà nghiên cứu cho biết khả năng biến các thiết bị bị nhiễm bệnh thành vết mật ong của ZHtrap đánh dấu một bước tiến hóa “thú vị” của mạng botnet để tạo điều kiện tìm kiếm nhiều mục tiêu hơn.

Các mạng botnet dựa trên Mirai này là mạng mới nhất xuất hiện trong bối cảnh mối đe dọa, một phần được khuyến khích bởi sự sẵn có của mã nguồn Mirai trên Internet từ năm 2016, mở ra cơ hội rộng rãi cho những kẻ tấn công khác xây dựng các biến thể của riêng chúng.

Tháng 3 năm ngoái, các nhà nghiên cứu đã phát hiện ra một biến thể Mirai có tên ” Mukashi “, được tìm thấy nhắm mục tiêu vào các thiết bị lưu trữ gắn với mạng Zyxel (NAS) để ghép chúng thành một mạng botnet. Sau đó vào tháng 10 năm 2020, nhóm nghiên cứu IoT của Avira đã xác định một biến thể khác của mạng botnet Mirai có tên ” Katana “, khai thác lỗ hổng thực thi mã từ xa để lây nhiễm cho bộ định tuyến D-Link DSL-7740C, thiết bị cổng không dây DOCSIS 3.1 và Thiết bị chuyển mạch Dell PowerConnect 6224. (THM)

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s