มัลแวร์ Mirai สายพันธุ์ใหม่ ติดอุปกรณ์ลีนุกซ์ สร้างบอทเน็ต DDoS
Mirai Botnet รุ่นใหม่ถูกติดตามโดย 'V3G4' เจาะช่องโหว่ 13 รายการในเซิร์ฟเวอร์ที่ใช้ Linux และอุปกรณ์ IoT เพื่อใช้ในการโจมตี DDoS (Distributed Denial of Service)
มัลแวร์จะแพร่กระจายโดยการยิงรหัส telnet/SSH ที่ติดตั้ง่ายๆ หรือใช้หัสดีฟอลต์แบบ Brute-Force และใช้ประโยชน์จากข้อบกพร่องที่ฮาร์ดโค้ดเพื่อเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์เป้าหมาย เมื่ออุปกรณ์ถูกเจาะ มัลแวร์จะติดอุปกรณ์ และดึงมันเข้าสู่ฝูงบ็อตเน็ต
มัลแวร์ดังกล่าวตรวจพบในแคมเปญที่แตกต่างกัน 3 แคมเปญ โดยนักวิจัยจาก Palo Alto Networks (Unit42) รายงานการเฝ้าติดตามกิจกรรมที่เป็นอันตรายระหว่างเดือนกรกฎาคม 2565 ถึงธันวาคม 2565
หน่วยการเรียนรู้ที่ 42 เชื่อว่า การถูกโจมตีทั้งสามระลอกมาจากผู้อยู่เบื้องหลังภัยคุกคามเดียวกัน เนื่องจากโดเมน C2 แบบฮาร์ดโค้ดมีสตริงเดียวกัน การดาวน์โหลดเชลล์สคริปต์คล้ายกัน และไคลเอ็นต์บ็อตเน็ตที่ใช้ในการโจมตีทั้งหมดมีฟังก์ชันที่เหมือนกัน
การโจมตี V3G4 เริ่มต้นด้วยการใช้ประโยชน์จากหนึ่งใน 13 ช่องโหว่ต่อไปนี้:
- CVE-2012-4869: FreePBX Elastix remote command execution
- Gitorious remote command execution
- CVE-2014-9727: FRITZ!Box Webcam remote command execution
- Mitel AWC remote command execution
- CVE-2017-5173: Geutebruck IP Cameras remote command execution
- CVE-2019-15107: Webmin command injection
- Spree Commerce arbitrary command execution
- FLIR Thermal Camera remote command execution
- CVE-2020-8515: DrayTek Vigor remote command execution
- CVE-2020-15415: DrayTek Vigor remote command execution
- CVE-2022-36267: Airspan AirSpot remote command execution
- CVE-2022-26134: Atlassian Confluence remote command execution
- CVE-2022-4257: C-Data Web Management System command injection
.jpg)
Vulnerabilities targeted by V3G4 (Unit 42)
หลังจากโจมตีอุปกรณ์เป้าหมายแล้ว เพย์โหลด (Payload) ที่ใช้ Mirai จะถูกทิ้งบนระบบ และพยายามเชื่อมต่อกับที่อยู่ C2 ที่เข้ารหัสไว้ Botnet ยังพยายามหยุด processes จากรายการฮาร์ดโค้ด ซึ่งรวมถึงตระกูลมัลแวร์บ็อตเน็ตอื่นๆ
.jpg)
Processes the malware attempts to stop (Unit 42)
ลักษณะเฉพาะที่ทำให้ V3G4 แตกต่างจาก Mirai ส่วนใหญ่คือ ใช้คีย์การเข้ารหัส XOR ที่แตกต่างกัน 4 คีย์ แทนที่จะเป็นคีย์เดียว ทำให้วิศวกรรมย้อนกลับกับโค้ดของมัลแวร์ และการถอดรหัสฟังก์ชันมีความท้าทายมากขึ้น
เมื่อแพร่กระจายไปยังอุปกรณ์อื่น บ็อตเน็ตจะใช้ telnet/SSH brute-forcer ที่พยายามเชื่อมต่อโดยใช้ข้อมูลประจำตัว (ยิงรหัส) ที่เป็นค่าเริ่มต้น หรือที่เดาง่าย หน่วยที่ 42 สังเกตว่ามัลแวร์รุ่นก่อนๆ ใช้ทั้ง telnet/SSH brute-forcing และช่องโหว่ในการแพร่กระจาย ขณะที่อย่างหลังจากนั้นไม่ได้ใช้เครื่องสแกน
สุดท้าย อุปกรณ์ที่ถูกบุกรุกจะได้รับคำสั่ง DDoS โดยตรงจาก C2 รวมถึงวิธีการกระจายออกไปยัง TCP, UDP, SYN และ HTTP
.jpg)
DDoS commands (Unit 42)
V3G4 มีแนวโน้มที่จะขายบริการ DDoS ให้กับลูกค้าที่ต้องการทำให้บริการหยุดชะงักในบางเว็บไซต์หรือบริการออนไลน์ อย่างไรก็ตาม ตัวแปรนี้ยังไม่ได้เชื่อมโยงกับบริการใดบริการหนึ่งในขณะนี้ และเช่นเคย วิธีที่ดีที่สุดในการป้องกันอุปกรณ์ของคุณจากการติดไวรัสแบบ Mirai คือการเปลี่ยนรหัสผ่านเริ่มต้นและติดตั้งการอัปเดตความปลอดภัยล่าสุด
ที่มา : bleepingcomputer.com
เว็บไซต์นี้มีการจัดเก็บคุกกี้เพื่อเพิ่มประสิทธิภาพในการใช้งานเว็บไซต์ของท่านให้ดียิ่งขึ้น และเพื่อให้ท่านได้รับการบริการที่ดีที่สุด โดยท่านสามารถศึกษาข้อมูลเพิ่มเติมได้จาก นโยบายความเป็นส่วนตัว ที่ลิงก์นี้ กรุณากดยอมรับเพื่อยินยอมให้เราใช้คุกกี้