Xuất hiện biến thể Mirai mới và “tân binh” botnet ZHtrap

04/06/2014
37
446 bài viết
Xuất hiện biến thể Mirai mới và “tân binh” botnet ZHtrap
Các nhà nghiên cứu vừa phát hiện một làn sóng tấn công mới, khai thác nhiều lỗ hổng để triển khai các biến thể Mirai trên các hệ thống bị xâm nhập.
"Sau khi khai thác thành công, hacker tải xuống một tập lệnh shell độc, chứa các hành vi lây nhiễm khác như download, thực thi các biến thể Mirai và công cụ brute-force", các nhà nghiên cứu cho biết.
botnet-jpg.8357
Các lỗ hổng đang bị khai thác bao gồm:
  • · VisualDoor - lỗ hổng chèn lệnh từ xa trên SonicWall SSL-VPN, xuất hiện vào đầu tháng 1
  • · CVE-2020-25506 - lỗ hổng thực thi mã từ xa (RCE) trên tường lửa D-Link DNS-320
  • · CVE-2021-27561 và CVE-2021-27562 - Hai lỗ hổng trên nền tảng Quản lý thiết bị Yealink, cho phép kẻ tấn công chưa được xác thực chạy các lệnh tùy ý trên máy chủ có đặc quyền root
  • · CVE-2021-22502 - lỗ hổng RCE trong Micro Focus Operation Bridge Reporter (OBR), ảnh hưởng đến phiên bản 10.40
  • · CVE-2019-19356 - khai thác RCE trên bộ định tuyến không dây Netis WF2419
  • · CVE-2020-26919 - lỗ hổng Netgear ProSAFE Plus RCE
Ngoài ra, hacker còn tận dụng ba lỗ hổng tiêm lệnh chưa từng được công bố. Theo các nhà nghiên cứu, một trong số đó có liên quan đến mã độc MooBot.
Các cuộc tấn công được cho là đã kéo dài khoảng một tháng, bắt đầu từ ngày 16 tháng 2 đến 13 tháng 3.
Quy trình tấn công của hacker bao gồm sử dụng tiện ích wget để tải xuống tập lệnh shell từ cơ sở hạ tầng mã độc, sau đó tìm nạp Mirai - một phần mềm độc hại nổi tiếng biến các thiết bị IoT nối mạng chạy Linux thành các bot được điều khiển từ xa.
Bên cạnh đó, một số tập lệnh shell khác cũng được sử dụng để tải về các công cụ tấn công brute-force, mở đường xâm nhập vào các thiết bị có mật khẩu yếu.
"Lĩnh vực IoT vẫn là một mục tiêu dễ dàng tiếp cận với những kẻ tấn công. Nhiều lỗ hổng rất dễ bị khai thác và trong một số trường hợp có thể gây ra hậu quả thảm khốc", nhà nghiên cứu cho biết.
Botnet ZHtrap bẫy nạn nhân bằng Honeypot
Trong một diễn biến liên quan, các nhà nghiên cứu từ công ty bảo mật Netlab 360 của Trung Quốc đã phát hiện ra mạng botnet mới dựa trên Mirai có tên là ZHtrap, sử dụng honeypot để tìm thêm nạn nhân, đồng thời mượn một số tính năng từ một botnet DDoS có tên là Matryosh.
ZHtrap sử dụng một mô-đun thu thập IP để lấy địa chỉ IP sử dụng cho việc lây lan về sau.
Cụ thể, mã độc lắng nghe trên 23 cổng được chỉ định và xác định các địa chỉ IP kết nối với các cổng này, sau đó kiểm tra sự tồn tại của bốn lỗ hổng có thể lợi dụng để tiêm payload.
  • Lỗ hổng RCE không cần xác thực trên MVPower DVR Netgear DGN1000 Setup.cgi unauthenticated RCE
  • · Lỗ hổng RCE không cần xác thực trên Netgear DGN1000 Setup.cgi
  • · Lỗ hổng RCE trên CCTV DVR, ảnh hưởng đến nhiều nhà cung cấp, và
  • · Lỗ hổng thực thi lệnh trên Realtek SDK miniigd SOAP (CVE-2014-8361)
Các nhà nghiên cứu cho biết: “ZHtrap lây lan qua 4 lỗ hổng N-day, chức năng chính là tấn công DDoS và rà quét, đồng thời tích hợp một số tính năng backdoor”.
“Zhtrap thiết lập honeypot trên thiết bị bị nhiễm, [và] chụp ảnh thiết bị nạn nhân đồng thời vô hiệu hóa việc chạy các lệnh mới dựa trên ảnh chụp, nhờ đó “độc quyền” điều khiển đối với thiết bị".
Khi đã tiếp quản các thiết bị, ZHtrap lấy tín hiệu từ mạng botnet Matryosh bằng cách sử dụng Tor để liên lạc với máy chủ điều khiển và kiểm soát để tải xuống và thực thi các payload mới.
Các cuộc tấn công bắt đầu từ ngày 28 tháng 2 năm 2021. Theo các nhà nghiên cứu, khả năng biến các thiết bị bị nhiễm thành honeypot của ZHtrap đánh dấu một sự tiến hóa "thú vị" của các mạng botnet, giúp chúng tìm kiếm được nhiều mục tiêu hơn.

Theo: The Hacker News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên