Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
Nhà nghiên cứu Vincent Li của Fortinet FortiGuard Labs chia sẻ: “Những botnet này thường xuyên lây lan thông qua các lỗ hổng bảo mật D-Link cho phép những kẻ tấn công từ xa thực thi các câu lệnh trái phép với mục đích phá hoại thông qua GetDeviceSettings trên giao diện interface HNAP (Home Network Administration Protocol)”.
“Yếu điểm của HNAP lần đầu được công bố cách đây gần một thập kỷ, với nhiều thiết bị bị ảnh hưởng bởi nhiều CVE khác nhau, bao gồm CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 và CVE-2024-33112”.
Theo dữ liệu của các công ty an ninh mạng, những cuộc tấn công liên quan đến FICORA đã nhắm tới nhiều quốc gia khác nhau trên toàn cầu, trong khi các cuộc tấn công liên quan đến CAPSAICIN chủ yếu tập trung ở các quốc gia phía Đông châu Á như Nhật Bản và Đài Loan. Cuộc tấn công CAPSAICIN được cho là chỉ hoạt động “mạnh mẽ” trong khoảng 21-22/10/2024.
Các cuộc tấn công botnet FICORA dẫn đến việc triển khai một downloader shell script (“multi”) từ một máy chủ từ xa (“103.149.87[.]69”), sau đó tiến hành tải xuống payload cho các kiến trúc Linux khác nhau một cách riêng biệt bằng các lệnh wget, ftpget, curl và tftp.
Có sẵn trong phần mềm độc hại được cài đặt trên botnet là một chức năng tấn công brute-force chứa một danh sách những tài khoản và mật khẩu người dùng. Phần mềm độc hại Mirai cũng tích hợp các tính năng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) bằng giao thức UDP, TCP và DNS.
Tập tin script (“bins[.]sh”) cho CAPSAICIN sử dụng một địa chỉ IP khác (“87[.]10[.]220[.]221”) và áp dụng cùng một phương pháp để tìm kiếm botnet cho nhiều kiến trúc Linux khác nhau nhằm đảm bảo khả năng tương thích tối đa.
Li chia sẻ: “Phần mềm độc hại sẽ tiêu diệt các tiến trình botnet đã biết để đảm bảo rằng nó là botnet duy nhất chạy trên máy nạn nhân. CAPSAICIN thiết lập một kết nối socket với máy chủ C2 của nó, '192[.]110[.]247[.]46' và gửi đi thông tin về hệ điều hành của máy nạn nhân, nickname do phần mềm độc hại cung cấp trở về máy chủ điều khiển và ra lệnh (C2)".
CAPSAICIN sau đó chờ các lệnh tiếp theo được thực thi trên các thiết bị bị xâm phạm, “PRIVMSG” là một lệnh có thể được sử dụng để thực hiện nhiều hành động phá hoại khác nhau chẳng hạn như sau:
Li cho biết: “Mặc dù các yếu điểm bị khai thác trong cuộc tấn công này đã được công bố và vá lỗi gần một thập kỷ trước, nhưng các cuộc tấn công này vẫn liên tục diễn ra trên toàn thế giới. Điều quan trọng là mọi doanh nghiệp phải thường xuyên cập nhật kernel của thiết bị và duy trì giám sát toàn diện”.
Lê Thị Bích Hằng
(Theo The Hacker News)
14:00 | 28/05/2024
09:00 | 08/01/2025
09:00 | 01/02/2025
09:00 | 30/05/2024
14:00 | 14/01/2025
09:00 | 15/10/2019
14:00 | 24/01/2025
13:00 | 14/02/2025
Các trang web giả mạo quảng cáo Google Chrome đã được sử dụng để phân phối trình cài đặt độc hại cho một loại trojan truy cập từ xa có tên là ValleyRAT.
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
09:00 | 13/12/2024
Các nhà nghiên cứu an ninh mạng đang cảnh báo về các chiến dịch tấn công email độc hại lợi dụng bộ công cụ lừa đảo dưới dạng dịch vụ (PhaaS) có tên là Rockstar 2FA, nhằm mục đích đánh cắp thông tin đăng nhập tài khoản Microsoft 365.
10:00 | 26/11/2024
Các tài liệu được công bố trong cuộc chiến pháp lý đang diễn ra giữa WhatsApp của Meta và NSO Group đã tiết lộ rằng, nhà cung cấp phần mềm gián điệp của Israel đã sử dụng nhiều lỗ hổng nhắm vào ứng dụng nhắn tin để phân phối phần mềm gián điệp Pegasus.
Các trang web giả mạo quảng cáo Google Chrome đã được sử dụng để phân phối trình cài đặt độc hại cho một loại trojan truy cập từ xa có tên là ValleyRAT.
13:00 | 14/02/2025