ช่องโหว่ของ Realtek และ Cacti กำลังตกเป็นเป้าหมายการโจมตีของ Botnet

Fortinet รายงานการพบ botnet หลายตัว กำลังมุ่งเป้าการโจมตีไปยังช่องโหว่ของ Cacti และ Realtek ตั้งแต่เดือนมกราคมถึงมีนาคม 2023 โดยพบการแพร่กระจายของมัลแวร์ ShellBot และ Moobot เป็นหลัก

โดยของโหว่ที่ตกเป็นเป้าหมายในการโจมตีคือ CVE-2021-35394 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Realtek Jungle SDK และ CVE-2022-46169 ช่องโหว่ command injection ใน fault management monitoring tool ของ Cacti ซึ่งทั้งสองช่องโหว่ดังกล่าว เคยถูกใช้โจมตีโดย botnet ตัวอื่นมาแล้ว เช่น Fodcha, RedGoBot, Mirai, Gafgyt และ Mozi

แม้ว่าจากรายงานของ Fortinet จะไม่ระบุอย่างชัดเจนว่า botnet ทั้งสองตัวอย่าง ShellBot และ Moobot มาจาก Hacker กลุ่มเดียวกัน แต่พบหลักฐานว่า botnet ทั้งสองตัวนี้ทำการโจมตีโดยใช้ช่องโหว่ในลักษณะเดียวกัน

Moobot Botnet

Moobot เป็น botnet สายพันธุ์หนึ่งที่แยกออกมาจาก Mirai โดยถูกพบครั้งแรกในเดือนธันวาคม 2020 ต่อมาพบการมุ่งเป้าการโจมตีไปยัง Hikvision camera ในเดือนกันยายน 2021 และมีการอัปเดตเป้าหมายการโจมตีไปยังช่องโหว่ D-Link RCE หลายรายการ

CVE-2021-35394 และ CVE-2022-46169 เป็นช่องโหว่ที่หากสามารถโจมตีได้สำเร็จ ระบบที่ถูกโจมตีจะถูกนำมาใช้เพื่อทำการดาวน์โหลดสคริปต์ และสร้างการเชื่อมต่อกับ C2 server

ลักษณะเด่นของ Moobot เวอร์ชันใหม่คือ มันมีความสามารถในการสแกนหา และกำจัด botnet ตัวอื่น ๆ ที่พบ เพื่อทำให้ประสิทธิภาพของฮาร์ดแวร์ในเครื่องเป้าหมายอยู่ในระดับสูงสุดเสมอ เพื่อนำมาใช้ในการโจมตีแบบ DDoS attack

ShellBot Botnet

ShellBot ถูกพบครั้งแรกในเดือนมกราคม 2023 จนถึงปัจจุบัน โดยมุ่งเป้าการโจมตีไปที่ช่องโหว่ใน Cacti โดยมัลแวร์ถูกตรวจพบถึงสามเวอร์ชัน แสดงให้เห็นถึงการพัฒนามาอย่างต่อเนื่อง

คำสั่งในการสื่อสารกับ C2 server และรอรับคำสั่ง

  • ps – ทำการสแกนโดยสามารถกำหนดพอร์ต และเป้าหมาย
  • nmap – ทำการสแกนพอร์ตโดยใช้ Nmap ในช่วงพอร์ตที่กำหนด
  • rm – ลบไฟล์ และโฟลเดอร์
  • version – ส่งข้อมูลเวอร์ชัน
  • down – ดาวน์โหลดไฟล์
  • udp – เริ่มการโจมตี UDP DDoS
  • back - inject reverse shell

ต่อมา ShellBot เวอร์ชันสอง ซึ่งถูกพบครั้งแรกในเดือนมีนาคม 2023 และพบว่ามีเครื่องที่ถูกโจมตีมากกว่าหลายร้อยราย โดยมีชุดคำสั่งที่ครอบคลุมมากขึ้นดังที่แสดงด้านล่าง

คุณลักษณะเด่นของ ShellBot เวอร์ชันสอง คือ มีโมดูลเสริมการโจมตีที่สามารถรวบรวมข้อมูลเครื่องมือที่ใช้ในการโจมตีจาก PacketStorm และ milw0rm

การป้องกัน

  • เปลี่ยนอุปกรณ์ที่มีช่องโหว่เป็นรุ่นที่ใหม่กว่าเพื่อรองรับการอัปเดตด้านความปลอดภัย
  • ตรวจสอบ และปรับปรุงรหัสผ่านผู้ดูแลระบบให้ปลอดภัย และอัปเดตแพตซ์ด้านความปลอดภัยอย่างสม่ำเสมอ

ที่มา : bleepingcomputer