พบ Botnet ตัวใหม่ มุ่งเป้าโจมตีช่องโหว่ใน NVRs และ TP-Link Router

Ta-Lun Yen นักวิจัยของ TXOne ได้ค้นพบ Botnet ตัวใหม่ ที่กำลังมุ่งเป้าโจมตีด้วยช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ยังไม่มีเลข CVE และยังไม่ได้รับการแก้ไขใน NVR DigiEver DS-2105 Pro

โดยแคมเปญ Botnet ดังกล่าวได้เริ่มต้นในเดือนตุลาคม 2023 และมีเป้าหมายการโจมตีไปยัง Multiple Network Video Recorders และ TP-Link routers ที่หมดอายุการใช้งานแล้ว ซึ่ง Ta-Lun Yen ได้นำเสนอช่องโหว่ดังกล่าวในงานประชุมด้านความปลอดภัย DefCamp ที่กรุงบูคาเรสต์ ประเทศโรมาเนียในปี 2023

นักวิจัยของ Akamai พบว่า Botnet เริ่มใช้ช่องโหว่ดังกล่าวในการโจมตีในช่วงกลางเดือนพฤศจิกายน 2024 รวมถึงพบหลักฐานว่าแคมเปญ Botnet ดังกล่าว เริ่มโจมตีมาตั้งแต่เดือนกันยายน 2024

นอกจากช่องโหว่ DigiEver แล้ว Mirai malware ตัวใหม่ ยังกำหนดเป้าหมายการโจมตีไปยังช่องโหว่ CVE-2023-1389 บนอุปกรณ์ TP-Link และช่องโหว่ CVE-2018-17532 บน Teltonika RUT9XX routers

การโจมตี NVR ของ DigiEver

โดยช่องโหว่ที่ถูกใช้เพื่อโจมตี NVR ของ DigiEver คือช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ซึ่งกำหนดเป้าหมายที่ URI '/cgi-bin/cgi_main.cgi' ซึ่งมีการตรวจสอบ user inputs อย่างไม่เหมาะสม

วิธีนี้ช่วยให้ Hacker จากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถ inject command เช่น 'curl' และ 'chmod' ผ่านพารามิเตอร์บางอย่าง เช่น ฟิลด์ ntp ใน HTTP POST requests ได้

Akamai ระบุว่าการโจมตีที่พบจาก botnet ที่พัฒนามาจาก Mirai นี้ มีความคล้ายคลึงกับสิ่งที่บรรยายไว้ในการนำเสนอของ Ta-Lun Yen

การโจมตีจะเรียก malware binary จากเซิร์ฟเวอร์ภายนอก และนำอุปกรณ์เข้าสู่ Botnet โดยการสร้าง cron jobs เพื่อฝังตัวอยู่ในระบบ

เมื่อสามารถควบคุมอุปกรณ์ได้แล้ว Botnet ก็จะถูกนำไปใช้ในการโจมตีแบบ Distributed Denial of Service (DDoS) Attacks หรือแพร่กระจายไปยังอุปกรณ์อื่น ๆ โดยการใช้ชุดการโจมตี และรายการข้อมูล credential ที่ขโมยมาได้

Akamai ระบุว่า Mirai Botnet รุ่นใหม่นี้ มีความโดดเด่นในเรื่องการใช้การเข้ารหัส XOR และ ChaCha20 และยังกำหนดเป้าหมายไปที่ระบบที่หลากหลาย รวมถึง x86, ARM และ MIPS

ทั้งนี้นักวิจัยสังเกตว่า Botnet ยังใช้ประโยชน์จากช่องโหว่ CVE-2018-17532 ซึ่งเป็นช่องโหว่ในเราเตอร์ Teltonika RUT9XX เช่นเดียวกับ CVE-2023-1389 ซึ่งส่งผลกระทบต่ออุปกรณ์ของ TP-Link

ที่มา : bleepingcomputer