Các nhà nghiên cứu an ninh mạng hôm thứ Hai đã tiết lộ một làn sóng tấn công mới đang diễn ra khai thác nhiều lỗ hổng để triển khai các biến thể Mirai trên các hệ thống bị xâm nhập.
“Sau khi khai thác thành công, những kẻ tấn công cố gắng tải xuống một tập lệnh shell độc hại, có chứa các hành vi lây nhiễm khác như tải xuống và thực thi các biến thể Mirai và brute-forcers”, Đội tình báo đe dọa đơn vị 42 của Palo Alto Networks nói trong một bài viết.
Các lỗ hổng bảo mật đang bị khai thác bao gồm:
- VisualDoor – lỗ hổng chèn lệnh từ xa SonicWall SSL-VPN xuất hiện vào đầu tháng 1 này
- CVE-2020-25506 – lỗ hổng thực thi mã từ xa tường lửa D-Link DNS-320 (RCE)
- CVE-2021-27561 và CVE-2021-27562 – Hai lỗ hổng trong Quản lý thiết bị Yealink cho phép kẻ tấn công chưa được xác thực chạy các lệnh tùy ý trên máy chủ có đặc quyền root
- CVE-2021-22502 – một lỗ hổng RCE trong Micro Focus Operation Bridge Reporter (OBR), ảnh hưởng đến phiên bản 10.40
- CVE-2019-19356 – khai thác RCE bộ định tuyến không dây Netis WF2419, và
- CVE-2020-26919 – lỗ hổng Netgear ProSAFE Plus RCE
Cũng bao gồm trong hỗn hợp là ba lỗ hổng tiêm lệnh chưa được tiết lộ trước đây đã được triển khai chống lại các mục tiêu không xác định, một trong số đó, theo các nhà nghiên cứu, đã được quan sát cùng với MooBot.
Các cuộc tấn công được cho là đã được phát hiện trong một khoảng thời gian dài một tháng, bắt đầu từ ngày 16 tháng 2 đến gần đây nhất là ngày 13 tháng 3.
Bất kể các lỗ hổng được sử dụng để khai thác thành công, chuỗi tấn công liên quan đến việc sử dụng tiện ích wget để tải xuống tập lệnh shell từ cơ sở hạ tầng phần mềm độc hại sau đó được sử dụng để tìm nạp Mirai nhị phân, một phần mềm độc hại khét tiếng biến các thiết bị IoT nối mạng chạy Linux thành các bot được điều khiển từ xa có thể được sử dụng như một phần của botnet trong các cuộc tấn công mạng quy mô lớn.
Bên cạnh việc tải xuống Mirai, các tập lệnh shell bổ sung đã được phát hiện truy xuất các tệp thực thi để tạo điều kiện cho các cuộc tấn công brute-force đột nhập vào các thiết bị dễ bị tấn công với mật khẩu yếu.
“Lĩnh vực IoT vẫn là một mục tiêu dễ dàng tiếp cận cho những kẻ tấn công. Nhiều lỗ hổng rất dễ bị khai thác và trong một số trường hợp có thể gây ra hậu quả thảm khốc”, nhà nghiên cứu cho biết.
ZHtrap Botnet Bẫy nạn nhân mới sử dụng Honeypot
Trong một diễn biến liên quan, các nhà nghiên cứu từ công ty bảo mật Trung Quốc Netlab 360 đã phát hiện ra một mạng botnet dựa trên Mirai mới có tên là ZHtrap sử dụng honeypot để thu thập thêm nạn nhân, đồng thời mượn một số tính năng từ một botnet DDoS được gọi là Matryosh.
Mặc dù honeypots thường bắt chước mục tiêu của bọn tội phạm mạng để lợi dụng nỗ lực xâm nhập của chúng nhằm thu thập thêm thông tin về hoạt động của chúng, mạng botnet ZHtrap sử dụng một kỹ thuật tương tự bằng cách tích hợp một mô-đun thu thập IP quét để thu thập các địa chỉ IP được sử dụng làm mục tiêu để nhân giống sâu hơn.
Nó đạt được điều này bằng cách lắng nghe trên 23 cổng được chỉ định và xác định địa chỉ IP kết nối với các cổng này, sau đó sử dụng địa chỉ IP tích lũy để kiểm tra chúng để tìm bốn lỗ hổng để đưa vào tải trọng –
“Sự truyền bá của ZHtrap sử dụng bốn lỗ hổng N-day, chức năng chính là DDoS và quét, đồng thời tích hợp một số tính năng cửa hậu”, các nhà nghiên cứu nói. “Zhtrap thiết lập một honeypot trên thiết bị bị nhiễm, [and] chụp ảnh nhanh cho các thiết bị nạn nhân và vô hiệu hóa việc chạy các lệnh mới dựa trên ảnh chụp nhanh, do đó đạt được tính độc quyền trên thiết bị. “
Khi đã tiếp quản các thiết bị, ZHtrap lấy tín hiệu từ mạng botnet Matryosh bằng cách sử dụng Tor để liên lạc với máy chủ điều khiển và kiểm soát để tải xuống và thực thi các tải trọng bổ sung.
Lưu ý rằng các cuộc tấn công bắt đầu từ ngày 28 tháng 2 năm 2021, các nhà nghiên cứu cho biết khả năng biến các thiết bị bị nhiễm bệnh thành vết mật ong của ZHtrap đánh dấu một bước tiến hóa “thú vị” của mạng botnet để tạo điều kiện tìm kiếm nhiều mục tiêu hơn.
Các nhà nghiên cứu suy đoán về tác giả của phần mềm độc hại này: “Nhiều mạng botnet thực hiện lan truyền quét giống như sâu và khi cổng honeypot của ZHtrap được truy cập, nguồn của nó rất có thể là một thiết bị đã bị lây nhiễm bởi một mạng botnet khác. “Thiết bị này có thể bị nhiễm virus, phải có sai sót, tôi có thể sử dụng cơ chế quét của mình để quét lại. Đây có thể là một cơ hội tốt để tôi có thể cấy các mẫu bot của mình và sau đó với chức năng kiểm soát quy trình, tôi có thể kiểm soát toàn bộ. điều đó không tuyệt vời phải không? “
