Được biết, AX1800 là bộ định tuyến Wifi 6 băng tần kép (2,4 GHz + 5 GHz) dựa trên Linux phổ biến với băng thông 1,8Gbps, được sử dụng chủ yếu bởi người dùng gia đình, văn phòng nhỏ, cửa hàng, quán cà phê,…
Fortinet FortiGuard Labs cho biết chiến dịch này đã được đẩy mạnh kể từ cuối tháng 5/2023. Condi là mã độc được phát triển bởi một nhóm tin tặc có tên là “zxcr9999” trên Telegram, bên cạnh đó nhóm này còn điều hành một kênh Telegram có tên “Condi Network” để quảng cáo cho sản phẩm của chúng.
Các nhà nghiên cứu bảo mật Joie Salvio và Roy Tay cho biết: “Kênh Telegram của zxcr9999 đã được bắt đầu vào tháng 5/2022 và chúng đã kiếm tiền từ mạng botnet của mình bằng cách cung cấp DDoS dưới dạng dịch vụ và bán mã nguồn phần mềm độc hại”.
Một báo cáo mới của Fortinet được công bố ngày 20/6 giải thích rằng Condi nhắm mục tiêu đến lỗ hổng CVE-2023-1389 (điểm CVSS: 8,8), một lỗ hổng thực thi mã từ xa chưa được xác thực có mức độ nghiêm trọng cao trong API của giao diện quản lý web của bộ định tuyến.
Mã nguồn của Condi và dịch vụ DDoS được bán trên Telegram
Các chuyên gia của ZDI đã phát hiện ra lỗ hổng và báo cáo cho nhà cung cấp thiết bị mạng vào tháng 1/2023, TP-Link đã phát hành bản cập nhật bảo mật vào tháng 3/2023 với phiên bản 1.1.4 Build 20230219.
Condi là botnet DDoS thứ hai nhắm vào lỗ hổng này sau Mirai trước đó đã khai thác nó vào cuối tháng 4/2023. Để đối phó với các cuộc tấn công chồng chéo trên cùng một máy host, Condi có một cơ chế cố gắng tiêu diệt các botnet của các đối thủ cạnh tranh, đồng thời, nó cũng dừng các phiên bản cũ hơn của chính nó. Tuy nhiên, nó thiếu một cơ chế bền bỉ, có nghĩa là chương trình không thể tồn tại khi khởi động lại hệ thống. Để khắc phục hạn chế này, mã độc sẽ xóa nhiều tệp nhị phân được sử dụng để tắt hoặc khởi động lại hệ thống:
Condi không giống như một số botnet khác lan truyền bằng các phương thức tấn công vét cạn, nó tận dụng mô-đun máy quét để kiểm tra các thiết bị TP-Link Archer AX21 dễ bị tấn công và nếu có, nó sẽ thực thi tập lệnh shell được truy xuất từ máy chủ từ xa để ký gửi mã độc. Cụ thể, máy quét sẽ chọn ra các bộ định tuyến dễ bị nhiễm CVE-2023-1389, một lỗ hổng chèn lệnh đã bị botnet Mirai khai thác trước đó.
Khai thác lỗ hổng CVE-2023-1389
Fortinet cho biết mặc dù các mẫu mà họ phân tích chứa máy quét tìm CVE-2023-1389, nhưng họ cũng đã quan sát thấy các mẫu khác của Condi sử dụng các lỗ hổng khác nhau để lan truyền, cho thấy phần mềm chưa được vá có nguy cơ bị mã độc botnet nhắm mục tiêu. Ngoài ra, các nhà phân tích đã tìm thấy các mẫu sử dụng tập lệnh shell với nguồn Android Debug Bridge (ADB), có khả năng chỉ ra rằng botnet được lan truyền qua các thiết bị có cổng ADB mở (TCP/5555).
Condi đặt mục tiêu gài bẫy các thiết bị để tạo ra một mạng botnet DDoS mạnh mẽ mà các tin tặc khác có thể thuê để dàn dựng các cuộc tấn công TCP và UDP flood các trang web và dịch vụ.
Chủ sở hữu bộ định tuyến Wifi TP-Link Archer AX21 có thể cập nhật chương trình cơ sở mới nhất cho phiên bản phần cứng của thiết bị từ trung tâm tải xuống của TP-Link. Các dấu hiệu của bộ định tuyến TP-Link bị nhiễm bao gồm thiết bị quá nóng, gián đoạn mạng, thay đổi không thể giải thích được trong cài đặt mạng của thiết bị và đặt lại mật khẩu người dùng quản trị.
Lê Thị Bích Hằng
(Học viện Kỹ thuật mật mã)
14:00 | 21/06/2023
15:00 | 25/07/2023
09:00 | 08/06/2023
14:00 | 22/02/2024
14:00 | 17/10/2022
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024