Biến thể phần mềm độc hại Mirai mới lây nhiễm các thiết bị Linux để xây dựng mạng botnet DDoS

Một biến thể botnet Mirai mới được theo dõi là 'V3G4' nhắm vào 13 lỗ hổng trong các máy chủ dựa trên Linux và thiết bị IoT để sử dụng trong các cuộc tấn công DDoS (từ chối dịch vụ phân tán).

Phần mềm độc hại lây lan bằng cách ép buộc thông tin xác thực telnet/SSH yếu hoặc mặc định và khai thác các lỗ hổng được mã hóa cứng để thực hiện thực thi mã từ xa trên thiết bị đích. Khi một thiết bị bị vi phạm, phần mềm độc hại sẽ lây nhiễm vào thiết bị và tuyển dụng thiết bị đó vào nhóm botnet của nó.

Phần mềm độc hại cụ thể đã được phát hiện trong ba chiến dịch riêng biệt bởi các nhà nghiên cứu tại Palo Alto Networks ( Unit 42 ), người đã báo cáo việc theo dõi hoạt động độc hại từ tháng 7 năm 2022 đến tháng 12 năm 2022.

Đơn vị 42 tin rằng cả ba làn sóng tấn công đều bắt nguồn từ cùng một tác nhân đe dọa vì các miền C2 được mã hóa cứng chứa cùng một chuỗi, các bản tải xuống tập lệnh shell tương tự nhau và các ứng dụng khách botnet được sử dụng trong tất cả các cuộc tấn công đều có các chức năng giống hệt nhau.

Các cuộc tấn công V3G4 bắt đầu bằng việc khai thác một trong 13 lỗ hổng sau:

• CVE-2012-4869: Thực thi lệnh từ xa FreePBX Elastix
• Gitorious thực thi lệnh từ xa
• CVE-2014-9727: FRITZ!Box Webcam thực thi lệnh từ xa
• Thực thi lệnh từ xa Mitel AWC
• CVE-2017-5173: Thực thi lệnh từ xa của Camera IP Geutebruck
• CVE-2019-15107: Chèn lệnh Webmin
• Thực thi lệnh tùy ý Spree Commerce
• Thực thi lệnh từ xa của camera nhiệt FLIR
• CVE-2020-8515: Thực thi lệnh từ xa DrayTek Vigor
• CVE-2020-15415: Thực thi lệnh từ xa DrayTek Vigor
• CVE-2022-36267: Airspan AirSpot thực thi lệnh từ xa
• CVE-2022-26134: Thực thi lệnh từ xa Atlassian Confluence
• CVE-2022-4257: Chèn lệnh Hệ thống quản lý web C-Data

Các lỗ hổng được nhắm mục tiêu bởi V3G4 

Sau khi thỏa hiệp thiết bị mục tiêu, tải trọng dựa trên Mirai sẽ bị loại bỏ trên hệ thống và cố gắng kết nối với địa chỉ C2 được mã hóa cứng.

Mạng botnet cũng cố gắng chấm dứt một tập hợp các quy trình từ danh sách được mã hóa cứng, bao gồm các họ phần mềm độc hại botnet cạnh tranh khác.

Xử lý nỗ lực ngăn chặn phần mềm độc hại 

Một đặc điểm khác biệt V3G4 với hầu hết các biến thể Mirai là nó sử dụng bốn khóa mã hóa XOR khác nhau thay vì chỉ một, khiến cho việc đảo ngược mã của phần mềm độc hại và giải mã các chức năng của nó trở nên khó khăn hơn.

Khi lây lan sang các thiết bị khác, botnet sử dụng telnet/SSH brute-forcer cố gắng kết nối bằng thông tin đăng nhập mặc định hoặc yếu. Đơn vị 42 đã nhận thấy các biến thể phần mềm độc hại trước đó đã sử dụng cả khai thác lỗ hổng bảo mật và telnet/SSH để phát tán, trong khi các mẫu sau này không sử dụng máy quét.

Cuối cùng, các thiết bị bị xâm nhập được đưa ra các lệnh DDoS trực tiếp từ C2, bao gồm các phương thức tấn công TCP, UDP, SYN và HTTP.

Lệnh DDoS 

V3G4 có khả năng bán dịch vụ DDoS cho những khách hàng muốn gây gián đoạn dịch vụ cho các trang web hoặc dịch vụ trực tuyến cụ thể.

Tuy nhiên, biến thể này chưa được gắn với một dịch vụ cụ thể tại thời điểm này.

Như mọi khi, cách tốt nhất để bảo vệ thiết bị của bạn khỏi bị lây nhiễm giống như Mirai là thay đổi mật khẩu mặc định và cài đặt các bản cập nhật bảo mật mới nhất.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.