IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.

Critical Vulnerabilities Allow Takeover of D-Link Routers

พบช่องโหว่ร้ายแรงสามารถเข้าควบคุมเราเตอร์ D-Link ได้

ทีมนักวิจัยจากมหาวิทยาลัย Silesian ในประเทศโปแลนด์ได้พบช่องโหว่หลายรายการซึ่งส่งผลกระทบกับเราเตอร์ D-Link หลายรุ่นประกอบด้วย DWR-116, DWR-111, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 และ DWR-921 โดยช่องโหว่ร้ายแรงสามารถทำให้แฮกเกอร์เข้าควบคุมอุปกรณ์ได้เลยทีเดียว

หนึ่งในช่องโหว่เป็น Directory Traversal (CVE-2018-10822) ส่งผลให้ผู้โจมตีสามารถเข้ามาอ่านไฟล์ผ่าน HTTP Request ได้ ซึ่งก่อนหน้านี้ช่องโหว่เคยถูกรายงานมาแล้ว (CVE-2017-6190) แต่ทางผู้ผลิตล้มเหลวในการแก้ไขช่องโหว่ที่เกิดขึ้นบนผลิตภัณฑ์ของตนเองหลายรุ่น นอกจากนี้ยังมี

CVE-2018-10824 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงไฟล์เก็บรหัสผ่านของ Admin ที่พบว่าไม่มีการเข้ารหัสด้วย โดยนักวิจัยไม่ได้เผยที่ตั้งไฟล์เพราะเกรงว่าจะเป็นการชี้ช่องทาง
CVE-2018-10823 เป็นช่องโหว่ที่ทำให้เกิดการรันคำสั่งและสามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ หลังจากทำการ authenticate สำเร็จแล้ว

แม้ว่าทางบริษัทผู้ผลิตจะได้รับการแจ้งเตือนช่องโหว่ต่างๆ ตั้งแต่เดือนพฤษภาคมและให้สัญญาว่าจะออกแพตช์สำหรับเราเตอร์รุ่น DWR-116 และ DWR-111 พร้อมแจ้งเตือนสำหรับผลิตภัณฑ์ที่เก่าจนไม่ได้รับการรองรับแล้ว แต่จนบัดนี้ทาง D-Link ก็ยังไม่มีแพตช์ใดๆ ออกมาจนทำให้นักวิจัยตัดสินใจเผยรายละเอียดต่อสาธารณะ สำหรับผู้ใช้งานที่ได้รับผลกระทบควรไปตั้งค่าปิดการเข้าถึงเราเตอร์ผ่านอินเทอร์เน็ต

เช่นเดียวกับการค้นพบช่องโหว่ใน Linksys E-Series เร้าเตอร์ โดยนักวิจัยจาก Cisco Talos เป็นข้อผิดพลาดใน Injection Command ของระบบปฏิบัติการ ส่งผลให้สามารถเข้าถึงเครื่องและติดตั้งมัลแวร์ได้ ซึ่งข้อแตกต่างจากช่องโหว่ในผลิตภัณฑ์ D-Link คือสามารถโจมตีสำเร็จได้เมื่อทำการ authenticate แล้วเท่านั้น และได้มีการออกแพทช์เรียบร้อยแล้ว

ที่มา:securityweek

New Hakai IoT botnet takes aim at D-Link, Huawei, and Realtek routers

Botnet ตัวใหม่ Hakai IoT มุ่งเน้นโจมตีไปที่เร้าเตอร์ของ D-Link, Huawei และ Realtek

นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ทำการตรวจสอบมัลแวร์ชื่อว่า "Hakai" ที่พบครั้งแรกในเดือนมิถุนายน ซึ่งเวอร์ชั่นแรกของ Hakai นั้นรู้จักในชื่อ Qbot (Gafgyt, Bashlite, Lizkebab, Torlus หรือ LizardStresser) เป็นสายพันธุ์มัลแวร์ IoT ที่มีโครงสร้างไม่ซับซ้อนนักเมื่อหลายปีก่อน แต่ Hakai เก่งกว่านั้น นักวิจัยพบการโจมตีของ Hakai เป็นครั้งแรกเมื่อวันที่ 21 กรกฎาคม เป็นการใช้ประโยชน์ช่องโหว่ CVE-2017-17215 ซึ่งเป็นช่องโหว่ที่ส่งผลกระทบต่อเราเตอร์ Huawei HG352 และในช่วงกลางเดือนสิงหาคม นักวิจัยคนอื่น ๆ ก็เริ่มสังเกตเห็นว่า botnet ตัวใหม่นี้เริ่มมุ่งเป้าหมายไปที่อุปกรณ์อื่นๆ ที่มีช่องโหว่เพิ่มเติม

Hakai ได้มุ่งเป้าโจมตีโดยกำหนดเป้าหมายไปยังเร้าเตอร์ D-Link ที่มีการใช้งานโปรโตคอล HNAP และเร้าเตอร์ Realtek รวมทั้งอุปกรณ์ IoT ที่มีการใช้ Realtek SDK เวอร์ชันเก่าที่ยังคงมีช่องโหว่

ที่มา : zdnet

Certificates stolen from Taiwanese tech-companies misused in Plead malware campaign

ใบรับรองดิจิตอลของ D-Link ถูกขโมยมาใช้ในการแพร่มัลแวร์

นักวิจัยของ ESET ได้ค้นพบการแพร่ระบาดมัลแวร์ครั้งใหม่ที่ใช้ใบรับรองดิจิตอลที่ขโมยมา เนื่องจากระบบของ ESET เตือนถึงไฟล์ที่น่าสงสัย แต่ไฟล์ดังกล่าวมีใบรับรองดิจิตอลจากบริษัท D-Link ซึ่งเป็นบริษัทผลิตอุปกรณ์ด้านเน็ตเวิร์คชื่อดังของไต้หวัน นักวิจัยจึงประสานงานกับบริษัท D-Link และยกเลิกไม่ให้ใบรับรองดังกล่าวที่ถูกขโมยใช้งานต่อได้อีก และจากการตรวจสอบเพิ่มเติมยังพบมัลแวร์ที่ใช้ใบรับรองดิจิตอลจากบริษัท Changing Information Technology ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยอีกด้วย

นักวิจัยของ ESET เปิดเผยว่าใบรับรองดิจิตอลดังกล่าวถูกใช้ทำเครื่องหมายให้กับมัลแวร์สองตระกูล ซึ่งเคยถูกใช้โดยกลุ่มจารกรรมข้อมูลทางไซเบอร์ชื่อ BlackTech

มัลแวร์ตัวแรกคือ Plead เป็นแบ็คดอร์ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถควบคุมระบบของผู้ใช้งานเพื่อขโมยข้อมูลและสอดแนมผู้ใช้
มัลแวร์อีกตัวคือ มัลแวร์ขโมยรหัสผ่านที่ใช้ร่วมกับ Plead เพื่อรวบรวมรหัสผ่าน จาก Google Chrome Microsoft Internet Explorer Microsoft Outlook และ Mozilla Firefox

ใบรับรองดิจิตอลถูกขโมยเพื่อนำใช้ในการแพร่มัลแวร์มาแล้วหลายครั้ง เนื่องจากคอมพิวเตอร์จะเชื่อถือโปรแกรมที่ทำเครื่องหมายด้วยใบรับรองดิจิตอล และทำงานโปรแกรมดังกล่าวโดยไม่ขึ้นข้อความแจ้งเตือน ทำให้ผู้ใช้หลงเชื่อว่าโปรแกรมดังกล่าวไม่เป็นอันตราย

ที่มา:welivesecurity

D-Link patches critical vulnerability in older routers

D-Link ได้ออกเฟิร์มแวร์สำหรับเราเตอร์รุ่นเก่าซึ่งได้พบช่องโหว่ของการรักษาความปลอดภัยซึ่งช่องโหว่ดังกล่าวถูกพบในเดือนตุลาคม โดยทางทีมวิจัยรักษาความปลอดภัยของทาง D-Link Craig Heffner ได้ออกมายืนยันถึงปัญหาของช่องโหว่ดังกล่าวที่ถูกค้นพบซึ่งรายงานการวิเคราะห์ของเราท์เตอร์ D-Link พบว่าในเว็บเซิร์ฟเวอร์สำหรับการเข้าแก้ไขค่าคอนฟิกมีสตริงแปลกๆ เมื่อทำการวิเคราะห์ย้อนกลับไปพบว่าบราวเซอร์ที่มี User-Agent มีสตริงนี้จะสามารถเข้าควบคุมเราเตอร์ได้โดยไม่ต้องล็อกอิน

ทางบริษัท D-Link ได้ออกมาแนะนำผู้ใช้ถึงวิธีการป้องกันการถูกโจมตีดังกล่าว โดยให้ผู้ใช้ได้ทำการปิดการใช้งาน Remote Management และได้เตือนอีกว่าตอนนี้มีอีเมลเพื่อลวงให้ผู้ใช้คลิกลิงค์เพื่อเข้าจัดการเราเตอร์ ซึ่งทาง D-Link จีงออกประกาศว่าทางบริษัทไม่ได้ส่งอีเมลเหล่านั้น

โดยช่องโหว่แบบเดียวกันยังมีรายงานในเราเตอร์ D-Link DIR-100, DIR-120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 Router PlanexBRL-04R, BRL-04UR, BRL-04CW routers; และ Alpha Networks routers และมีเราเตอร์ได้รับแพตซ์แก้ปัญหา ได้แก่ DI-524, DI-524UP, DIR-604+, DIR-604UP, DIR-624S, TM-G5240, DIR-100 และ DIR-120

ทีี่มา : net-security