Fortinet FortiGuard Labs cho biết, chiến dịch này đã được đẩy mạnh từ cuối tháng 5/2023. Kẻ đứng sau Condi có bí danh trực tuyến là zxcr9999 trên Telegram và hiện đang điều hành một kênh Telegram có tên Condi Network để quảng cáo những sản phẩm của mình.

Các nhà nghiên cứu bảo mật Joie Salvio và Roy Tay cho biết: “Kênh Telegram đã được bắt đầu vào tháng 5/2022 và tác nhân đe dọa đã kiếm tiền từ mạng botnet của mình bằng cách cung cấp dịch vụ DDoS dưới dạng dịch vụ và bán mã nguồn phần mềm độc hại”.

Phân tích thành phần của phần mềm này cho thấy chúng có khả năng chấm dứt các botnet cạnh tranh khác trên cùng một máy chủ. Tuy nhiên, nó lại thiếu tính năng bền bỉ, có nghĩa là chương trình không thể tồn tại khi khởi động lại hệ thống.

Để khắc phục hạn chế này, phần mềm độc hại sẽ xóa nhiều tệp nhị phân được sử dụng để tắt hoặc khởi động lại hệ thống như: /usr/sbin/reboot; /usr/bin/reboot; /usr/sbin/shutdown; /usr/bin/shutdown; /usr/sbin/poweroff; /usr/bin/poweroff; /usr/sbin/halt; /usr/bin/halt.

Condi không giống như một số botnet lây lan bằng các phương thức tấn công brute-force (thử mật khẩu đúng sai) khác, chúng lợi dụng mô-đun máy quét kiểm tra lỗ hổng trên các thiết bị TP-Link Archer AX21. Nếu phát hiện lỗ hổng, chúng sẽ khai thác nhằm thực thi tập lệnh shell được truy xuất trên máy chủ từ xa để ký gửi phần mềm độc hại.

Cụ thể, máy quét sẽ chọn ra các bộ định tuyến dễ bị nhiễm lỗ hổng CVE-2023-1389 (điểm CVSS: 8,8), một lỗi chèn lệnh đã bị botnet Mirai khai thác trước đó.

Fortinet cho biết, họ đã phát hiện ra các mẫu Condi khác đã được phát tán thông qua việc khai thác một số lỗ hổng bảo mật đã biết. Điều này cho thấy phần mềm chưa được vá có nguy cơ bị botnet nhắm mục tiêu.

Bỏ qua các chiến thuật kiếm tiền tích cực, Condi đặt mục tiêu gài bẫy các thiết bị để tạo ra một mạng botnet DDoS mạnh mẽ mà các tác nhân khác có thể thuê để dàn dựng các cuộc tấn công từ chối dịch vụ TCP và UDP flood vào các trang web và dịch vụ.

Các nhà nghiên cứu cho biết: “Những chiến dịch phần mềm độc hại, đặc biệt là botnet, luôn tìm cách mở rộng và việc khai thác các lỗ hổng được phát hiện gần đây luôn là một trong những phương pháp mà chúng ưa thích."

Sự phát triển diễn ra khi trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) công khai các máy chủ Linux được quản lý kém đang bị xâm phạm để phát tán các bot DDoS như ShellBot và Tsunami (còn gọi là Kaiten) cũng như lén lút lợi dụng tài nguyên để khai thác tiền điện tử.

ASEC cho biết: “Mã nguồn của Tsunami được công bố rộng rãi nên nó được vô số tác nhân đe dọa sử dụng. Trong số các mục đích sử dụng khác nhau thì mục đích chủ yếu là trong các cuộc tấn công chống lại các thiết bị IoT. Tất nhiên, nó cũng thường được sử dụng để nhắm mục tiêu vào các máy chủ Linux."

Các chuỗi tấn công đòi hỏi xâm nhập các máy chủ bằng cách sử dụng một cuộc tấn công từ điển (dictionary attack) (một phương pháp đột nhập vào máy tính, mạng hoặc tài nguyên CNTT khác được bảo vệ bằng mật khẩu (password) bằng cách nhập một cách có hệ thống từng từ trong từ điển làm mật khẩu) để thực thi tập lệnh shell giả mạo có khả năng tải xuống phần mềm độc hại ở giai đoạn tiếp theo và liên tục duy trì quyền truy cập cửa hậu bằng cách thêm khóa chung vào tệp .ssh/authorized_keys.

Phần mềm độc hại botnet Tsunami được sử dụng trong cuộc tấn công là một biến thể mới có tên Ziggy, có nhiều phần trùng lặp với mã nguồn ban đầu. Nó tiếp tục sử dụng chat chuyển tiếp Internet (Internet relay chat - IRC) cho việc điều khiển bằng lệnh (C2).

Ngoài ra, nó còn có một bộ công cụ phụ trợ được sử dụng trong quá trình xâm phạm để leo thang đặc quyền và thay đổi hoặc xóa các tệp nhật ký nhằm xóa dấu vết và cản trở việc phân tích.

ASEC cho biết: “Quản trị viên nên sử dụng mật khẩu khó đoán cho tài khoản của họ và thay đổi chúng định kỳ để bảo vệ máy chủ Linux khỏi các cuộc tấn công brute force và tấn công từ điển, đồng thời cập nhật bản vá mới nhất để ngăn chặn các cuộc tấn công khai thác lỗ hổng”./.

Hạnh Tâm