An toàn thông tin

Phần mềm độc hại mới chiếm quyền điều khiển Wi-Fi

Hạnh Tâm 15:18 24/06/2023

Một phần mềm độc hại mới có tên Condi đã khai thác lỗ hổng bảo mật trong bộ định tuyến Wi-Fi TP-Link Archer AX21 (AX1800) để lôi kéo các thiết bị vào một mạng botnet từ chối dịch vụ (DDoS) phân tán.

Fortinet FortiGuard Labs cho biết, chiến dịch này đã được đẩy mạnh từ cuối tháng 5/2023. Kẻ đứng sau Condi có bí danh trực tuyến là zxcr9999 trên Telegram và hiện đang điều hành một kênh Telegram có tên Condi Network để quảng cáo những sản phẩm của mình.

Các nhà nghiên cứu bảo mật Joie Salvio và Roy Tay cho biết: “Kênh Telegram đã được bắt đầu vào tháng 5/2022 và tác nhân đe dọa đã kiếm tiền từ mạng botnet của mình bằng cách cung cấp dịch vụ DDoS dưới dạng dịch vụ và bán mã nguồn phần mềm độc hại”.

a2(2).jpg

Phân tích thành phần của phần mềm này cho thấy chúng có khả năng chấm dứt các botnet cạnh tranh khác trên cùng một máy chủ. Tuy nhiên, nó lại thiếu tính năng bền bỉ, có nghĩa là chương trình không thể tồn tại khi khởi động lại hệ thống.

Để khắc phục hạn chế này, phần mềm độc hại sẽ xóa nhiều tệp nhị phân được sử dụng để tắt hoặc khởi động lại hệ thống như: /usr/sbin/reboot; /usr/bin/reboot; /usr/sbin/shutdown; /usr/bin/shutdown; /usr/sbin/poweroff; /usr/bin/poweroff; /usr/sbin/halt; /usr/bin/halt.

Condi không giống như một số botnet lây lan bằng các phương thức tấn công brute-force (thử mật khẩu đúng sai) khác, chúng lợi dụng mô-đun máy quét kiểm tra lỗ hổng trên các thiết bị TP-Link Archer AX21. Nếu phát hiện lỗ hổng, chúng sẽ khai thác nhằm thực thi tập lệnh shell được truy xuất trên máy chủ từ xa để ký gửi phần mềm độc hại.

a1(1).jpg

Cụ thể, máy quét sẽ chọn ra các bộ định tuyến dễ bị nhiễm lỗ hổng CVE-2023-1389 (điểm CVSS: 8,8), một lỗi chèn lệnh đã bị botnet Mirai khai thác trước đó.

Fortinet cho biết, họ đã phát hiện ra các mẫu Condi khác đã được phát tán thông qua việc khai thác một số lỗ hổng bảo mật đã biết. Điều này cho thấy phần mềm chưa được vá có nguy cơ bị botnet nhắm mục tiêu.

Bỏ qua các chiến thuật kiếm tiền tích cực, Condi đặt mục tiêu gài bẫy các thiết bị để tạo ra một mạng botnet DDoS mạnh mẽ mà các tác nhân khác có thể thuê để dàn dựng các cuộc tấn công từ chối dịch vụ TCP và UDP flood vào các trang web và dịch vụ.

Các nhà nghiên cứu cho biết: “Những chiến dịch phần mềm độc hại, đặc biệt là botnet, luôn tìm cách mở rộng và việc khai thác các lỗ hổng được phát hiện gần đây luôn là một trong những phương pháp mà chúng ưa thích."

Sự phát triển diễn ra khi trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) công khai các máy chủ Linux được quản lý kém đang bị xâm phạm để phát tán các bot DDoS như ShellBot và Tsunami (còn gọi là Kaiten) cũng như lén lút lợi dụng tài nguyên để khai thác tiền điện tử.

ASEC cho biết: “Mã nguồn của Tsunami được công bố rộng rãi nên nó được vô số tác nhân đe dọa sử dụng. Trong số các mục đích sử dụng khác nhau thì mục đích chủ yếu là trong các cuộc tấn công chống lại các thiết bị IoT. Tất nhiên, nó cũng thường được sử dụng để nhắm mục tiêu vào các máy chủ Linux."

Các chuỗi tấn công đòi hỏi xâm nhập các máy chủ bằng cách sử dụng một cuộc tấn công từ điển (dictionary attack) (một phương pháp đột nhập vào máy tính, mạng hoặc tài nguyên CNTT khác được bảo vệ bằng mật khẩu (password) bằng cách nhập một cách có hệ thống từng từ trong từ điển làm mật khẩu) để thực thi tập lệnh shell giả mạo có khả năng tải xuống phần mềm độc hại ở giai đoạn tiếp theo và liên tục duy trì quyền truy cập cửa hậu bằng cách thêm khóa chung vào tệp .ssh/authorized_keys.

Phần mềm độc hại botnet Tsunami được sử dụng trong cuộc tấn công là một biến thể mới có tên Ziggy, có nhiều phần trùng lặp với mã nguồn ban đầu. Nó tiếp tục sử dụng chat chuyển tiếp Internet (Internet relay chat - IRC) cho việc điều khiển bằng lệnh (C2).

Ngoài ra, nó còn có một bộ công cụ phụ trợ được sử dụng trong quá trình xâm phạm để leo thang đặc quyền và thay đổi hoặc xóa các tệp nhật ký nhằm xóa dấu vết và cản trở việc phân tích.

ASEC cho biết: “Quản trị viên nên sử dụng mật khẩu khó đoán cho tài khoản của họ và thay đổi chúng định kỳ để bảo vệ máy chủ Linux khỏi các cuộc tấn công brute force và tấn công từ điển, đồng thời cập nhật bản vá mới nhất để ngăn chặn các cuộc tấn công khai thác lỗ hổng”./.

Bài liên quan
  • Chiến dịch Trojan ngân hàng phát tán phần mềm độc hại
    Những phát hiện mới từ Kaspersky tiết lộ, một chiến dịch phần mềm độc hại QBot mới đang lợi dụng việc trao đổi thư từ của doanh nghiệp đã bị tấn công để lừa các nạn nhân nhẹ dạ cài đặt phần mềm độc hại.
Nổi bật Tạp chí Thông tin & Truyền thông
  • Mỗi tác phẩm báo chí chuẩn mực về nội dung, hiện đại trong phương pháp thể hiện
    Chủ tịch nước Tô Lâm nhấn mạnh: "Mỗi tác phẩm báo chí phải là một sản phẩm văn hóa tinh thần có giá trị và giá trị sử dụng cao, chuẩn mực về nội dung, tươi mới và hấp dẫn về hình thức, hiện đại trong phương pháp thể hiện và phương thức phát hành".
  • AI đẩy nhanh quá trình quản lý lỗ hổng
    Với khả năng phân tích, dự báo và tự động hóa, AI đang định hình lại nhiều lĩnh vực kinh doanh, đáng chú ý nhất là an ninh mạng.
  • Ra mắt sách của Tổng Bí thư Nguyễn Phú Trọng
    Chiều 21/6, nhân dịp kỷ niệm 76 năm Ngày Bác Hồ ra Lời kêu gọi Thi đua ái quốc (11/6/1948-11/6/2024), 99 năm Ngày Báo chí cách mạng Việt Nam (21/6/1925-21/6/2024), tại Hà Nội, Ban Tuyên giáo Trung ương tổ chức Lễ ra mắt cuốn sách của đồng chí Tổng Bí thư Nguyễn Phú Trọng "Xây dựng và phát triển nền văn hóa Việt Nam tiên tiến, đậm đà bản sắc dân tộc".
  • Nhận thức là yếu tố quan trọng nhất trong  phòng chống ransomware
    Theo các chuyên gia, nâng cao nhận thức cho người dùng là điều quan trọng nhất trong việc bảo đảm an toàn thông tin (ATTT), nhất là trước các cuộc tấn công mã độc tống tiền (ransomware).
  • Cách chống lại những hình thức tấn công mạng dựa trên mật khẩu
    Các chuyên gia của Kaspersky đã tiến hành một nghiên cứu kiểm tra khả năng chống chịu của 193 triệu mật khẩu trước các hình thức tấn công dự đoán thông minh (smart guessing attacks) và brute force. Đây cũng là những mật khẩu bị xâm phạm và rao bán trên darknet bởi những kẻ đánh cắp thông tin.
Đừng bỏ lỡ
Phần mềm độc hại mới chiếm quyền điều khiển Wi-Fi
POWERED BY ONECMS - A PRODUCT OF NEKO