-
09/04/2020
-
124
-
1.517 bài viết
Botnet và trojan quốc tế bùng phát, hạ tầng tại Việt Nam bị lợi dụng
Trung tâm Thông báo An ninh mạng Quốc gia Trung Quốc đã cảnh báo khẩn về một loạt tên miền và địa chỉ IP độc hại đặt ở nước ngoài đang bị các nhóm tin tặc khai thác để tiến hành tấn công mạng có chủ đích vào nhiều quốc gia. Các hạ tầng này có mối liên hệ chặt chẽ với botnet và trojan điều khiển từ xa (RAT), đe dọa trực tiếp tới hệ thống công nghệ thông tin của tổ chức và người dùng Internet.
Theo phân tích kỹ thuật, các địa chỉ độc hại nói trên phân bố tại nhiều quốc gia như Mỹ, Canada, Anh, Đức, Hà Lan, Ukraine, Brazil và Việt Nam. Chúng chủ yếu được sử dụng làm máy chủ điều khiển, phục vụ các hoạt động như xây dựng mạng máy tính ma (botnet), cài cửa hậu, đánh cắp dữ liệu và phát động tấn công từ chối dịch vụ phân tán (DDoS).
Theo phân tích kỹ thuật, các địa chỉ độc hại nói trên phân bố tại nhiều quốc gia như Mỹ, Canada, Anh, Đức, Hà Lan, Ukraine, Brazil và Việt Nam. Chúng chủ yếu được sử dụng làm máy chủ điều khiển, phục vụ các hoạt động như xây dựng mạng máy tính ma (botnet), cài cửa hậu, đánh cắp dữ liệu và phát động tấn công từ chối dịch vụ phân tán (DDoS).
Đáng chú ý, cơ quan chức năng đã ghi nhận sự xuất hiện của nhiều họ mã độc nguy hiểm, chia thành hai nhóm chính:- Nhóm botnet tấn công thiết bị mạng và IoT gồm V3G4Bot, Mirai, Gafgyt, SoftBot và CondiBot. Các mã độc này chủ yếu nhắm vào máy chủ Linux, router, camera và thiết bị mạng. Chúng lợi dụng lỗ hổng bảo mật đã được công bố, cấu hình yếu hoặc mật khẩu mặc định để xâm nhập, sau đó chiếm quyền điều khiển thiết bị. Khi đã bị nhiễm, các thiết bị này sẽ bị biến thành “máy ma”, bị điều khiển từ xa để tham gia các cuộc tấn công từ chối dịch vụ quy mô lớn, khiến website và hệ thống trực tuyến có thể bị tê liệt hàng loạt.
- Nhóm trojan điều khiển từ xa gồm NjRAT, RemCos, AsyncRAT và Xworm. Đây là các mã độc cho phép kẻ tấn công xâm nhập sâu vào máy tính nạn nhân, theo dõi màn hình, ghi lại thao tác bàn phím, đánh cắp mật khẩu và dữ liệu, quản lý file và chương trình đang chạy. Nguy hiểm hơn, tin tặc có thể bật camera, microphone, chạy lệnh từ xa và cài thêm các loại mã độc khác. Một số biến thể còn được sử dụng để tống tiền, phát động tấn công mạng hoặc ẩn kết nối điều khiển khiến việc phát hiện và xử lý trở nên khó khăn hơn.
Đặc biệt nguy hiểm là CondiBot, lợi dụng lỗ hổng CVE-2023-1389 trên router TP-Link Archer AX21, cho thấy xu hướng tin tặc khai thác thiết bị mạng gia đình và doanh nghiệp nhỏ để làm bàn đạp tấn công.
Trong bối cảnh Việt Nam cũng xuất hiện trong danh sách hạ tầng bị lợi dụng, chuyên gia WhiteHat khuyến cáo:
Trong bối cảnh Việt Nam cũng xuất hiện trong danh sách hạ tầng bị lợi dụng, chuyên gia WhiteHat khuyến cáo:
- Kiểm tra lại lịch sử truy cập Internet và lưu lượng mạng để phát hiện việc kết nối tới các địa chỉ đáng ngờ; đặc biệt chú ý router, camera giám sát, thiết bị IoT và máy chủ.
- Cập nhật và siết chặt hệ thống bảo vệ mạng tại cổng Internet của cơ quan, doanh nghiệp, kịp thời chặn các địa chỉ và máy chủ điều khiển mã độc đã được cảnh báo.
- Nâng cao cảnh giác với email, file đính kèm và đường link lạ, không rõ nguồn gốc; tránh sử dụng mật khẩu đơn giản hoặc mặc định trên thiết bị mạng.
- Khi phát hiện dấu hiệu bị tấn công, cần nhanh chóng tách thiết bị nghi nhiễm khỏi mạng, lưu lại dữ liệu liên quan và thông báo cho cơ quan chức năng để phối hợp xử lý, điều tra nguồn tấn công.
Botnet và RAT vẫn là mối đe dọa dai dẳng, đặc biệt với IoT và hạ tầng mạng yếu bảo mật, một vấn đề mà người dùng và doanh nghiệp Việt Nam không thể xem nhẹ.
Theo China News