Phát hiện biến thể Miral botnet Beastmode tích cực khai thác lỗi bảo mật trong bộ định tuyến TOTOLINK

09:00 | 22/04/2022 | LỖ HỔNG ATTT

Các nhà nghiên cứu công bố một biến thể của mạng botnet Mirai có tên Beastmode khai thác các lỗ hổng mới được phát hiện trong bộ định tuyến TOTOLINK từ tháng 2 đến tháng 3/2022, lây nhiễm các thiết bị chưa được vá lỗ hổng bảo mật để mở rộng quy mô hoạt động.

Mirai là một loại mã độc lây nhiễm vào các thiết bị IoT (camera an ninh, router, máy in,...) và biến chúng thành một mạng máy tính ma (botnet) nhằm mục đích tấn công từ chối dịch vụ DDoS, được phát hiện lần đầu vào tháng 8/2016. Cũng trong năm đó, cuộc tấn công DDoS lớn nhất thế giới từng được biết đến với lưu lượng hơn 1Tbps vào website công ty hosting OVH được thực hiện thông qua một mạng botnet với hơn 152 nghìn thiết bị IoT bao gồm cả camera CCTV và máy quay video cá nhân. Mã độc Miral sau đó nhanh chóng bị sao chép và lợi dụng bởi tin tặc, gây ra các cuộc tấn công mạng với các quy mô khác nhau.

Năm 2021, các nhà nghiên cứu từ AT&T Alien Lab (Mỹ) phát hiện biến thể Moobot của botnet Mirai đang rà quét Internet để tìm kiếm lỗ hổng thực thi mã từ xa CVE-2020-10987 trong bộ định tuyến Tenda.

Nhóm nghiên cứu FortiGuard Labs của Fortinet cho biết: "Mạng botnet Beastmode (hay còn gọi là B3astmode) là biến thể của Mirai đã tích hợp thêm việc khai thác các lỗ hổng để tăng lây nhiễm trên nhiều thiết bị. Năm lỗ hổng mới đã khai thác trong vòng một tháng, ba trong số đó nhắm tới các bộ định tuyến TOTOLINK".

Các lỗ hổng trong bộ định tuyến TOTOLINK bị khai thác bao gồm:

- CVE-2022-26210 (CVSS 9,8): Lỗ hổng chèn lệnh có thể bị khai thác để thực thi mã tùy ý.

- CVE-2022-26186 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến bộ định tuyến TOTOLINK N600R và A7100RU.

- 10 lỗ hổng có mã định danh từ CVE-2022-25075 đến CVE-2022-25084 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến nhiều bộ định tuyến TOTOLINK, cho phép thực thi mã.

Các mục tiêu khai thác khác của Beastmode bao gồm các lỗi trong TP-Link Tapo C200 IP camera (CVE-2021-4045, CVSS 9,8), bộ định tuyến Huawei HG532 (CVE-2017-17215, CVSS 8,8), các giải pháp giám sát video của NUUO và Netgear (CVE-2016-5674, CVSS 9,8), các sản phẩm bị ngừng hỗ trợ của D-Link (CVE-2021-45382, CVSS 9,8).

Phát hiện biến thể Miral botnet Beastmode tích cực khai thác lỗi bảo mật trong bộ định tuyến TOTOLINK

Beastmode với các tên tệp và thông số khác nhau

Các nhà nghiên cứu cũng cho biết thêm: "Mặc dù nhóm tin tặc đứng đằng sau mã độc Mirai đã bị bắt vào năm 2018, tuy nhiên với việc liên tục phát hiện các biến thể mới, cụ thể là Beastmode. Điều này cho thấy hacker có thể nhanh chóng kết hợp các lỗ hỗng bảo mật mới được khai thác để lây nhiễm các thiết bị chưa được vá lỗi".

Để ngăn chặn các mô hình bị khai thác bởi botnet, người dùng được khuyến nghị khẩn trương cập nhật thiết bị lên các phiên bản mới nhất.

Trương Đình Dũng

‹ › ×

Tin liên quan

Lỗ hổng nghiêm trọng CVE-2021-38178 có thể dẫn đến tấn công chuỗi cung ứng

15:00 | 19/01/2022

Mới đây, nhà cung cấp giải pháp SAP, SecurityBridge (Đức) đã cảnh báo một lỗ hổng nghiêm trọng được vá gần đây trong SAP NetWeaver AS ABAP và ABAP Platform có thể bị lạm dụng để thực hiện các cuộc tấn công chuỗi cung ứng.

Các vấn đề bảo mật bộ định tuyến

18:00 | 16/08/2022

Router hay còn gọi là bộ định tuyến là một thiết bị phần cứng có nhiệm vụ nhận, phân tích, chuyển tiếp các gói dữ liệu qua mạng và đến các thiết bị đầu cuối. Các bộ định tuyến thường là mục tiêu để tin tặc xâm nhập vào các mạng cục bộ, đặc biệt đối với các bộ định tuyến gia đình. Chính vì thế, bảo mật bộ định tuyến chính là bảo vệ trước các mối đe dọa truy cập trái phép hay đánh cắp thông tin dữ liệu. Đây không phải là một nhiệm vụ dễ dàng, vì thực tế các thiết bị này còn tồn tại nhiều lỗ hổng.

Mã độc tống tiền DeadBolt nhắm vào các thiết bị QNAP NAS

17:00 | 01/04/2022

Các nhà nghiên cứu của công cụ tìm kiếm Internet Censys mới đưa ra báo cáo về việc các thiết bị QNAP đã bị nhắm mục tiêu trong một làn sóng tấn công bằng mã độc tống tiền DeadBolt mới.

Phát hiện lỗ hổng chèn lệnh ảnh hưởng đến bộ định tuyến NETGEAR

12:00 | 23/09/2022

Một nhà nghiên cứu an ninh mạng vừa tiết lộ một lỗ hổng chèn lệnh ở mức độ nghiêm trọng định danh CVE-2022-30078 ảnh hưởng đến nhiều bộ định tuyến, có thể bị tin tặc tấn công từ xa khai thác để chiếm quyền kiểm soát hệ thống bị ảnh hưởng.

Phát hiện Botnet Dark Frost mới triển khai các cuộc tấn công DDoS vào ngành công nghiệp trò chơi

09:00 | 08/06/2023

Các nhà nghiên cứu tại công ty công nghệ điện toán đám mây Akamai (Mỹ) cho biết vừa phát hiện một mạng botnet mới có tên là “Dark Frost” đang thực hiện các chiến dịch tấn công từ chối dịch vụ phân tán (DDoS) nhằm vào ngành công nghiệp trò chơi.

Biến thể botnet mới nhắm mục tiêu các router ASUS

14:00 | 28/03/2022

Hãng bảo mật Trend Micro phát hiện các router ASUS trở thành mục tiêu của mạng botnet mới có tên gọi Cyclops Blink. Trước đó, các chuyên gia phát hiện mã độc này đã lạm dụng các thiết bị tường lửa của một số hãng như một bước đệm để truy cập từ xa vào các mạng bị xâm nhập.

Cảnh báo về mã độc Chaos lây nhiễm trên các hệ thống Windows và Linux để tấn công DDoS

14:00 | 17/10/2022

Các nhà nghiên cứu tại Bộ phận tình báo về mối đe dọa Black Lotus Labs của hãng công nghệ Lumen (Hoa Kỳ) vừa phát hiện một dòng botnet đa nền tảng mới dựa trên Go có tên gọi là Chaos. Mã độc này nhắm mục tiêu tới các hệ thống trên Windows, Linux và các bộ định tuyến cho văn phòng nhỏ, văn phòng gia đình (SOHO), máy chủ doanh nghiệp để sử dụng cho mục đích khai thác tiền điện tử và khởi động các cuộc tấn công DDoS.

Tin cùng chuyên mục

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).

Lỗ hổng Terrapin mới cho phép tin tặc hạ cấp bảo mật giao thức SSH

08:00 | 11/01/2024

Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.

Cảnh báo chiến dịch tấn công nhắm vào các thiết bị USB an toàn

17:00 | 21/12/2023

Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).

Fortinet cảnh báo lỗ hổng chèn lệnh nghiêm trọng trong FortiSIEM

13:00 | 21/11/2023

Fortinet cảnh báo khách hàng về lỗ hổng chèn lệnh nghiêm trọng trong hệ điều hành máy chủ của FortiSIEM, lỗ hông này có thể bị khai thác bởi kẻ tấn công chưa xác thực từ xa để thực thi lệnh qua các truy vấn API tự tạo.