Mirai là một loại mã độc lây nhiễm vào các thiết bị IoT (camera an ninh, router, máy in,...) và biến chúng thành một mạng máy tính ma (botnet) nhằm mục đích tấn công từ chối dịch vụ DDoS, được phát hiện lần đầu vào tháng 8/2016. Cũng trong năm đó, cuộc tấn công DDoS lớn nhất thế giới từng được biết đến với lưu lượng hơn 1Tbps vào website công ty hosting OVH được thực hiện thông qua một mạng botnet với hơn 152 nghìn thiết bị IoT bao gồm cả camera CCTV và máy quay video cá nhân. Mã độc Miral sau đó nhanh chóng bị sao chép và lợi dụng bởi tin tặc, gây ra các cuộc tấn công mạng với các quy mô khác nhau.
Năm 2021, các nhà nghiên cứu từ AT&T Alien Lab (Mỹ) phát hiện biến thể Moobot của botnet Mirai đang rà quét Internet để tìm kiếm lỗ hổng thực thi mã từ xa CVE-2020-10987 trong bộ định tuyến Tenda.
Nhóm nghiên cứu FortiGuard Labs của Fortinet cho biết: "Mạng botnet Beastmode (hay còn gọi là B3astmode) là biến thể của Mirai đã tích hợp thêm việc khai thác các lỗ hổng để tăng lây nhiễm trên nhiều thiết bị. Năm lỗ hổng mới đã khai thác trong vòng một tháng, ba trong số đó nhắm tới các bộ định tuyến TOTOLINK".
Các lỗ hổng trong bộ định tuyến TOTOLINK bị khai thác bao gồm:
- CVE-2022-26210 (CVSS 9,8): Lỗ hổng chèn lệnh có thể bị khai thác để thực thi mã tùy ý.
- CVE-2022-26186 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến bộ định tuyến TOTOLINK N600R và A7100RU.
- 10 lỗ hổng có mã định danh từ CVE-2022-25075 đến CVE-2022-25084 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến nhiều bộ định tuyến TOTOLINK, cho phép thực thi mã.
Các mục tiêu khai thác khác của Beastmode bao gồm các lỗi trong TP-Link Tapo C200 IP camera (CVE-2021-4045, CVSS 9,8), bộ định tuyến Huawei HG532 (CVE-2017-17215, CVSS 8,8), các giải pháp giám sát video của NUUO và Netgear (CVE-2016-5674, CVSS 9,8), các sản phẩm bị ngừng hỗ trợ của D-Link (CVE-2021-45382, CVSS 9,8).
Beastmode với các tên tệp và thông số khác nhau
Các nhà nghiên cứu cũng cho biết thêm: "Mặc dù nhóm tin tặc đứng đằng sau mã độc Mirai đã bị bắt vào năm 2018, tuy nhiên với việc liên tục phát hiện các biến thể mới, cụ thể là Beastmode. Điều này cho thấy hacker có thể nhanh chóng kết hợp các lỗ hỗng bảo mật mới được khai thác để lây nhiễm các thiết bị chưa được vá lỗi".
Để ngăn chặn các mô hình bị khai thác bởi botnet, người dùng được khuyến nghị khẩn trương cập nhật thiết bị lên các phiên bản mới nhất.
Trương Đình Dũng
15:00 | 19/01/2022
18:00 | 16/08/2022
17:00 | 01/04/2022
12:00 | 23/09/2022
09:00 | 08/06/2023
14:00 | 28/03/2022
14:00 | 17/10/2022
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
13:00 | 21/11/2023
Fortinet cảnh báo khách hàng về lỗ hổng chèn lệnh nghiêm trọng trong hệ điều hành máy chủ của FortiSIEM, lỗ hông này có thể bị khai thác bởi kẻ tấn công chưa xác thực từ xa để thực thi lệnh qua các truy vấn API tự tạo.
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024