Ta-Lun Yen นักวิจัยของ TXOne ได้ค้นพบ Botnet ตัวใหม่ ที่กำลังมุ่งเป้าโจมตีด้วยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ยังไม่มีเลข CVE และยังไม่ได้รับการแก้ไขใน NVR DigiEver DS-2105 Pro
โดยแคมเปญ Botnet ดังกล่าวได้เริ่มต้นในเดือนตุลาคม 2023 และมีเป้าหมายการโจมตีไปยัง Multiple Network Video Recorders และ TP-Link routers ที่หมดอายุการใช้งานแล้ว ซึ่ง Ta-Lun Yen ได้นำเสนอช่องโหว่ดังกล่าวในงานประชุมด้านความปลอดภัย DefCamp ที่กรุงบูคาเรสต์ ประเทศโรมาเนียในปี 2023
นักวิจัยของ Akamai พบว่า Botnet เริ่มใช้ช่องโหว่ดังกล่าวในการโจมตีในช่วงกลางเดือนพฤศจิกายน 2024 รวมถึงพบหลักฐานว่าแคมเปญ Botnet ดังกล่าว เริ่มโจมตีมาตั้งแต่เดือนกันยายน 2024
นอกจากช่องโหว่ DigiEver แล้ว Mirai malware ตัวใหม่ ยังกำหนดเป้าหมายการโจมตีไปยังช่องโหว่ CVE-2023-1389 บนอุปกรณ์ TP-Link และช่องโหว่ CVE-2018-17532 บน Teltonika RUT9XX routers
การโจมตี NVR ของ DigiEver
โดยช่องโหว่ที่ถูกใช้เพื่อโจมตี NVR ของ DigiEver คือช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ซึ่งกำหนดเป้าหมายที่ URI '/cgi-bin/cgi_main.cgi' ซึ่งมีการตรวจสอบ user inputs อย่างไม่เหมาะสม
วิธีนี้ช่วยให้ Hacker จากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถ inject command เช่น 'curl' และ 'chmod' ผ่านพารามิเตอร์บางอย่าง เช่น ฟิลด์ ntp ใน HTTP POST requests ได้
Akamai ระบุว่าการโจมตีที่พบจาก botnet ที่พัฒนามาจาก Mirai นี้ มีความคล้ายคลึงกับสิ่งที่บรรยายไว้ในการนำเสนอของ Ta-Lun Yen
การโจมตีจะเรียก malware binary จากเซิร์ฟเวอร์ภายนอก และนำอุปกรณ์เข้าสู่ Botnet โดยการสร้าง cron jobs เพื่อฝังตัวอยู่ในระบบ
เมื่อสามารถควบคุมอุปกรณ์ได้แล้ว Botnet ก็จะถูกนำไปใช้ในการโจมตีแบบ Distributed Denial of Service (DDoS) Attacks หรือแพร่กระจายไปยังอุปกรณ์อื่น ๆ โดยการใช้ชุดการโจมตี และรายการข้อมูล credential ที่ขโมยมาได้
Akamai ระบุว่า Mirai Botnet รุ่นใหม่นี้ มีความโดดเด่นในเรื่องการใช้การเข้ารหัส XOR และ ChaCha20 และยังกำหนดเป้าหมายไปที่ระบบที่หลากหลาย รวมถึง x86, ARM และ MIPS
ทั้งนี้นักวิจัยสังเกตว่า Botnet ยังใช้ประโยชน์จากช่องโหว่ CVE-2018-17532 ซึ่งเป็นช่องโหว่ในเราเตอร์ Teltonika RUT9XX เช่นเดียวกับ CVE-2023-1389 ซึ่งส่งผลกระทบต่ออุปกรณ์ของ TP-Link
ที่มา : bleepingcomputer
You must be logged in to post a comment.