Phát hiện biến thể Miral botnet Beastmode tích cực khai thác lỗi bảo mật trong bộ định tuyến TOTOLINK

09:00 | 22/04/2022 | LỖ HỔNG ATTT

Các nhà nghiên cứu công bố một biến thể của mạng botnet Mirai có tên Beastmode khai thác các lỗ hổng mới được phát hiện trong bộ định tuyến TOTOLINK từ tháng 2 đến tháng 3/2022, lây nhiễm các thiết bị chưa được vá lỗ hổng bảo mật để mở rộng quy mô hoạt động.

Mirai là một loại mã độc lây nhiễm vào các thiết bị IoT (camera an ninh, router, máy in,...) và biến chúng thành một mạng máy tính ma (botnet) nhằm mục đích tấn công từ chối dịch vụ DDoS, được phát hiện lần đầu vào tháng 8/2016. Cũng trong năm đó, cuộc tấn công DDoS lớn nhất thế giới từng được biết đến với lưu lượng hơn 1Tbps vào website công ty hosting OVH được thực hiện thông qua một mạng botnet với hơn 152 nghìn thiết bị IoT bao gồm cả camera CCTV và máy quay video cá nhân. Mã độc Miral sau đó nhanh chóng bị sao chép và lợi dụng bởi tin tặc, gây ra các cuộc tấn công mạng với các quy mô khác nhau.

Năm 2021, các nhà nghiên cứu từ AT&T Alien Lab (Mỹ) phát hiện biến thể Moobot của botnet Mirai đang rà quét Internet để tìm kiếm lỗ hổng thực thi mã từ xa CVE-2020-10987 trong bộ định tuyến Tenda.

Nhóm nghiên cứu FortiGuard Labs của Fortinet cho biết: "Mạng botnet Beastmode (hay còn gọi là B3astmode) là biến thể của Mirai đã tích hợp thêm việc khai thác các lỗ hổng để tăng lây nhiễm trên nhiều thiết bị. Năm lỗ hổng mới đã khai thác trong vòng một tháng, ba trong số đó nhắm tới các bộ định tuyến TOTOLINK".

Các lỗ hổng trong bộ định tuyến TOTOLINK bị khai thác bao gồm:

- CVE-2022-26210 (CVSS 9,8): Lỗ hổng chèn lệnh có thể bị khai thác để thực thi mã tùy ý.

- CVE-2022-26186 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến bộ định tuyến TOTOLINK N600R và A7100RU.

- 10 lỗ hổng có mã định danh từ CVE-2022-25075 đến CVE-2022-25084 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến nhiều bộ định tuyến TOTOLINK, cho phép thực thi mã.

Các mục tiêu khai thác khác của Beastmode bao gồm các lỗi trong TP-Link Tapo C200 IP camera (CVE-2021-4045, CVSS 9,8), bộ định tuyến Huawei HG532 (CVE-2017-17215, CVSS 8,8), các giải pháp giám sát video của NUUO và Netgear (CVE-2016-5674, CVSS 9,8), các sản phẩm bị ngừng hỗ trợ của D-Link (CVE-2021-45382, CVSS 9,8).

Phát hiện biến thể Miral botnet Beastmode tích cực khai thác lỗi bảo mật trong bộ định tuyến TOTOLINK

Beastmode với các tên tệp và thông số khác nhau

Các nhà nghiên cứu cũng cho biết thêm: "Mặc dù nhóm tin tặc đứng đằng sau mã độc Mirai đã bị bắt vào năm 2018, tuy nhiên với việc liên tục phát hiện các biến thể mới, cụ thể là Beastmode. Điều này cho thấy hacker có thể nhanh chóng kết hợp các lỗ hỗng bảo mật mới được khai thác để lây nhiễm các thiết bị chưa được vá lỗi".

Để ngăn chặn các mô hình bị khai thác bởi botnet, người dùng được khuyến nghị khẩn trương cập nhật thiết bị lên các phiên bản mới nhất.

Trương Đình Dũng

‹ › ×

Tin liên quan

Lỗ hổng nghiêm trọng CVE-2021-38178 có thể dẫn đến tấn công chuỗi cung ứng

15:00 | 19/01/2022

Mới đây, nhà cung cấp giải pháp SAP, SecurityBridge (Đức) đã cảnh báo một lỗ hổng nghiêm trọng được vá gần đây trong SAP NetWeaver AS ABAP và ABAP Platform có thể bị lạm dụng để thực hiện các cuộc tấn công chuỗi cung ứng.

Các vấn đề bảo mật bộ định tuyến

18:00 | 16/08/2022

Router hay còn gọi là bộ định tuyến là một thiết bị phần cứng có nhiệm vụ nhận, phân tích, chuyển tiếp các gói dữ liệu qua mạng và đến các thiết bị đầu cuối. Các bộ định tuyến thường là mục tiêu để tin tặc xâm nhập vào các mạng cục bộ, đặc biệt đối với các bộ định tuyến gia đình. Chính vì thế, bảo mật bộ định tuyến chính là bảo vệ trước các mối đe dọa truy cập trái phép hay đánh cắp thông tin dữ liệu. Đây không phải là một nhiệm vụ dễ dàng, vì thực tế các thiết bị này còn tồn tại nhiều lỗ hổng.

Mã độc tống tiền DeadBolt nhắm vào các thiết bị QNAP NAS

17:00 | 01/04/2022

Các nhà nghiên cứu của công cụ tìm kiếm Internet Censys mới đưa ra báo cáo về việc các thiết bị QNAP đã bị nhắm mục tiêu trong một làn sóng tấn công bằng mã độc tống tiền DeadBolt mới.

Biến thể botnet mới nhắm mục tiêu các router ASUS

14:00 | 28/03/2022

Hãng bảo mật Trend Micro phát hiện các router ASUS trở thành mục tiêu của mạng botnet mới có tên gọi Cyclops Blink. Trước đó, các chuyên gia phát hiện mã độc này đã lạm dụng các thiết bị tường lửa của một số hãng như một bước đệm để truy cập từ xa vào các mạng bị xâm nhập.

Tin cùng chuyên mục

Tin tặc Triều Tiên sử dụng tiện ích mở rộng độc hại trên trình duyệt để theo dõi tài khoản email

22:00 | 15/08/2022

Một nhóm tin tặc hoạt động với mục địch tài chính được cho là có liên quan đến Triều Tiên đã triển khai một tiện ích mở rộng độc hại trên các trình duyệt web dựa trên Chromium, có khả năng đánh cắp nội dung email từ Gmail và AOL.

Các chiêu trò lừa đảo trong hoạt động thanh toán trực tuyến

14:00 | 25/07/2022

Cùng với sự phát triển của các công nghệ hiện đại, các gian lận trong thanh toán trực tuyến cũng gia tăng đáng kể trong những năm gần đây gây ra những thiệt hại đáng kể về tài chính và phi tài chính cho ngân hàng, khách hàng, các bên liên quan khác và nền kinh tế số. Bài báo sẽ khái quát một số thủ đoạn, hành vi lừa đảo của tội phạm mạng sử dụng công nghệ cao trong thanh toán trực tuyến, đồng thời cũng đề xuất một số giải pháp nhằm giúp người dùng tăng cường cảnh giác trong hoạt động thanh toán trực tuyến.

Nhóm gián điệp APT mới của Trung Quốc tấn công vào các hãng viễn thông châu Á

15:00 | 09/05/2022

Các nhà nghiên cứu thuộc Sentinel Lab (Mỹ) đã theo dõi và phát hiện một nhóm gián điệp APT mới có tên là Moshen Dragon, nhắm vào các nhà cung cấp dịch vụ viễn thông ở Trung Á.

Cách thức khai thác mã QR để thực hiện các hành vi lừa đảo

15:00 | 13/04/2022

Với các loại mối đe dọa mạng mới được dự đoán sẽ gia tăng vào năm 2022, người dùng nên cảnh giác về những rủi ro liên quan và cẩn trọng trước khi thực hiện quét mã QR.