นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.

Qurium Media องค์กรสัญชาติสวีเดนซึ่งเป็นหน่วยงานไม่แสวงผลกำไรเพื่อสิทธิ และเสรีภาพด้านดิจิทัล รายงานว่า เหตุการณ์ที่สำนักข่าวในประเทศฟิลิปปินส์และองค์กรเพื่อสิทธิมนุษยชนถูกโจมตีด้วย Distributed Denail-of-Service (DDoS) มีลักษณะเป็นการโจมตีแบบเจาะจงเป้าหมาย ซึ่งมีความเชื่อมโยงไปถึง Department of Science and Technology (DOST) ของประเทศฟิลิปปินส์รวมถึงกองทัพฟิลิปปินส์อีกด้วย

องค์กร Qurium Media ชี้แจงในรายงานว่า "มีการโจมตีแบบ DoS เกิดขึ้นในช่วงเวลาสั้นๆ แต่มีความถี่ค่อนข้างบ่อย ซึ่งการโจมตีนี้เกิดขึ้นกับสำนักข่าวชื่อ Bulatlat และ Altermidya รวมไปถึงองค์กรเพื่อสิทธิมนุษยชนชื่อ Karapatan ในช่วงระหว่างเดือนพฤษภาคมถึงเดือนมิถุนายน ค.ศ. 2021"

ในวันที่ 18 พฤษภาคม ที่ผ่านมา DOST ได้ใช้เครื่องมือเพื่อทำการสแกนหาช่องโหว่บนระบบของ Bulatlat โดย Qurium เชื่อว่าเครื่องมือดังกล่าวคือ “Sn1per” ของบริษัท Xerosecurity โดยตัว Tools มีความสามารถในการสแกนหาช่องโหว่ได้ ซึ่งส่วนใหญ่ถูกใช้ในการทดสอบเจาะระบบ (Penetration Testing) แต่เครื่องมือในลักษณะนี้ไม่ควรถูกนำมาใช้ทดสอบระบบของผู้อื่นโดยที่ไม่ได้รับอนุญาต ดังนั้นจึงเป็นไปได้ว่าเหตุการณ์นี้เป็นความตั้งใจนำมาใช้งานเพื่อพยายามหาช่องโหว่เพื่อโจมตีระบบ

การโจมตีครั้งล่าสุดที่องค์กร Qurium ตรวจจับได้ เกิดขึ้นเมื่อช่วงกลางดึกของวันที่ 22 มิถุนายน 2021 ซึ่งการโจมตีครั้งนี้กินระยะนานหลายชั่วโมง โดยผู้โจมตีทำการส่งข้อมูลแบบสุ่มที่มีปริมาณข้อมูลจำนวนมากไปยังเว็บไซต์ของ Bulatlat และ Altermidya เพื่อทำให้เว็บไซต์ดังกล่าวไม่สามารถให้บริการได้

ผู้เชี่ยวชาญของ Qurium เปิดเผยว่าจากข้อมูลหลักฐานที่พบเชื่อมโยงไปยังข้อมูลอีเมล ซึ่งตรวจสอบแล้วพบว่าเกี่ยวข้องกับ Office of the Assistant Chief of Staff for Intelligence (OG2-PAS) ของกองทัพฟิลิปปินส์

ในตอนแรก DOST ปฏิเสธว่าไม่มีส่วนเกี่ยวข้องกับการโจมตีดังกล่าว แต่ต่อมา นาง Rowena Guevara ปลัดของสำนักงานวิจัยและพัฒนา (Undersecretary for Research and Development) เปิดเผยกับสื่อท้องถิ่นว่า "กระทรวงฯ ให้ความช่วยเหลือกับหน่วยงานอื่น ๆ ของรัฐ โดยการอนุญาตให้สามารถนำไอพีแอดเดรสบางส่วนของกระทรวงฯ ไปใช้งานในระบบเครือข่ายภายในของหน่วยงานนั้นได้" แต่อย่างไรก็ตาม นาง Rowena ไม่ได้กล่าวถึงชื่อของหน่วยงานดังกล่าว และกล่าวปัดว่าให้เป็นหน้าที่ของรัฐบาลในการสอบสวนเรื่องนี้

เมื่อสัปดาห์ที่ผ่านมา, สำนักข่าว ABS-CBN รายงานว่า นักการเมืองของฟิลิปปินส์ชื่อ Ferdinand Gaite แสดงจุดยืนกลางที่ประชุมสภาผู้แทนราษฏรขอให้มีการสอบสวนกรณีที่มีผู้ให้บริการข่าวสารถูกโจมตีทางไซเบอร์โดยหน่วยงานของรัฐ Ferdinand กล่าวว่า "ผมคิดว่ามันค่อนข้างชัดเจนมากที่การโจมตีนี้เป็นฝีมือของรัฐ และผู้มีอำนาจมีนโยบายที่จะโจมตีสื่อที่มีความสำคัญ ผมคิดว่า ณ จุดนี้คำปฏิเสธของพวกเขานั้นฟังไม่ขึ้น"

ที่มา : ehackingnews

นักวิจัยด้านความปลอดภัย "3xp0rt" ได้เปิดเผยถึงพฤติกรรมของกลุ่ม REvil ransomware ซึ่งได้ประกาศถึงการนำกลยุทธ์ใหม่ที่ใช้บริษัทภายในเครือของผู้ที่ติดแรนซัมแวร์เพื่อกดดันผู้ที่ตกเป็นเหยื่อโดยใช้การโจมตี DDoS และการโทรไปยังนักข่าวและพันธมิตรทางธุรกิจของเหยื่อเพื่อให้ข้อมูลเกี่ยวกับการโจมตีที่เกิดขึ้น เพื่อกดดันให้เหยื่อยอมจ่ายเงิน

กลุ่ม REvil ransomware หรือที่เรียกว่า Sodinokibi เป็นกลุ่มผู้ให้บริการแรนซัมแวร์หรือ Ransomware-as-a-service (RaaS) ซึ่งภายในกลุ่มจะมีบริษัทที่รับให้บริการบุกรุกเครือข่ายขององค์กรที่ตกเป็นเป้าหมายและทำการติดตั้งแรนซัมแวร์ลงไปภายในเครือข่ายเพื่อทำการเรียกค่าไถ่ผู้ที่ตกเป็นเหยื่อ

กลุ่ม REvil ransomware ได้มีการประกาศในเว็บบอร์ดใต้ดินเพื่อหาผู้ที่สามารถทำการโจมตีแบบ DDoS ได้เพื่อเข้าร่วมทีมขู่กรรโชก รวมไปถึงผู้ที่จะทำหน้าที่ติดต่อ เปิดเผยและข่มขู่หากบริษัทซึ่งโดนแรนซัมแวร์ไม่ยอมออกมายอมรับและจ่ายค่าไถ่

นอกจากการโทรเพื่อกดดันเหยื่อแล้ว REvil ยังให้ทำการโจมตี DDoS ไปยัง Layer 3 และ Layer 7 ของบริษัทที่ตกเป็นเหยื่อเพื่อสร้างแรงกดดัน โดยทั่วไปการโจมตี DDoS Layer 3 มักใช้เพื่อจำกัดการเชื่อมต่ออินเทอร์เน็ตของบริษัทที่ตกเป็นเหยื่อ แต่ในทางตรงกันข้ามกลุ่มแรนซัมแวร์จะใช้การโจมตี DDoS แบบ Layer 7 เพื่อทำให้แอปพลิเคชันของเหยื่อที่สามารถเข้าถึงได้จากสาธารณะเช่นเว็บเซิร์ฟเวอร์หยุดให้บริการ

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมลหรือการใช้งานการเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใด ๆ จากอีเมล์หรือเว็บไซต์ที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer

หน่วยงานความมั่นคงของยูเครน National Security and Defense Council of Ukraine (NSDC) เปิดเผยความเชื่อมโยงของแฮกเกอร์รัสเซียเข้ากับความพยายามในการโจมตีระบบจัดการเอกสารของรัฐบาลยูเครนพร้อมเผยแพร่ Indicator of compromise ที่ได้จากการโจมตี ทั้งนี้ NSDC ยังไม่มีการระบุอย่างแน่ชัดว่าเป็นกลุ่มแฮกเกอร์ใด

ระบบที่ถูกแฮกนั้นเป็นระบบที่มีชื่อว่า System of Electronic Interaction of Executive Bodies (SEI EB) ซึ่งเป็นระบบที่รัฐบาลยูเครนจะใช้ในการแบ่งปันและเผยแพร่เอกสารในหน่วยงานรัฐของยูเครน โดยจากการตรวจสอบนั้น NSDC ตรวจพบการพยายามอัปโหลดไฟล์เอกสารที่มีโค้ดที่เป็นอันตรายไปยังระบบ SEI EB ซึ่งคาดว่ามีเป้าหมายในการหลอกให้มีการดาวน์โหลดและติดตั้งมัลแวร์

ยูเครนตกเป็นเป้าการโจมตีจากรัสเซียอยู่บ่อยครั้ง โดยเมื่อช่วงสัปดาห์ที่ผ่านมา ทาง NSDC ก็มีการเปิดเผยว่ารัสเซียเป็นผู้อยู่เบื้องหลังการโจมตีในลักษณะ DDoS ต่อระบบและเว็บไซต์ของรัฐบาล อีกทั้งยังมีกรณีที่ของมัลแวร์เรียกค่าไถ่ Egregor ที่คาดว่ามีการแพร่กระจายอย่างเฉพาะเจาะจงและมีรัฐบาลรัสเซียอยู่เบื้องหลังอีกด้วย

ที่มา: bleepingcomputer

Netlab ทีมนักวิจัยด้านความปลอดภัยของบริษัท Qihoo 360 จากจีนได้รายงานถึงการตรวจพบบ็อตเน็ตใหม่ที่มีชื่อว่า “Ttint” ที่กำลังใช้ประโยชน์จากช่องโหว่แบบ zero-day ในเราท์เตอร์ Tenda เพื่อทำการเเพร่กระจาย โดยการติดตั้งมัลแวร์บนเราท์เตอร์ Tenda เพื่อทำการสร้างบอทเน็ต IoT (Internet of Things)

จากรายงานของ Netlab ได้ระบุว่าบ็อตเน็ต Ttint เป็นบ็อตเน็ตสายพันธุ์เดียวกับ Mirai เนื่องจากถูกสร้างด้วยโค้ดเบสเดียวกัน โดยทั่วไปแล้วบ็อตเน็ตชนิดนี้จะถูกนำมาใช้เพื่อทำการโจมตี DDoS แต่ด้วยการพัฒนาฟังก์ชั่นการทำงานเพิ่มจึงทำให้ปัจจุบัน Ttint มีความสามารถเพิ่มเติมที่นอกเหนือจากการเเพร่กระจายบนเราเตอร์อีก 12 ฟังก์ชั่น โดยในการเเพร่กระจายนั้นบ็อตเน็ต Ttin จะใช้ประโยชน์จากช่องโหว่แบบ zero-day จำนวน 2 ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-10987 และ CVE-2018-14558 เป็นช่องโหว่ในเราท์เตอร์ Tenda

Netlab ได้เเนะนำให้ผู้ใช้เราเตอร์ Tenda ตรวจสอบเฟิร์มแวร์และทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของบ็อตเน็ต Ttint

ที่มา : Zdnet

Internet Engineering Task Force หรือ IETF มีการเผยแพร่ข้อเสนอสำหรับมาตรฐานใหม่ RFC8915 หรือ Network Time Security (NTS) โดยเป้าหมายที่ชัดเจนของ RFC นี้นั้นคือการแก้ไขปัญหา จุดอ่อนและช่องโหว่ในโปรโตคอล network time protocol หรือ NTP

NTP ซึ่งปัจจุบันมีอายุครบ 35 ปีแล้วนั้นมีปัญหาและช่องโหว่อยู่มากมาย อาทิ ลักษณะของโปรโตคอลที่สามารถถูกนำมาใช้ในการโจมตีลักษณะ DDoS amplification, ปัญหาการแก้ไขข้อมูลในแพ็คเกตระหว่างทาง และการโจมตีในลักษณะของ replay attack ด้วยการใช้วิธี MiTM

สิ่งที่จะเกิดขึ้นใหม่ NTS นั้นคือการนำเอาศาสตร์ของการเข้ารหัสเข้ามาช่วยในการันตีความถูกต้องและความลับของแพ็คเกจ และแก้ปัญหา DDoS amplification โดยการตรวจสอบขนาดของข้อมูลในโปรโตคอล

แม้จะออกมาดูดีและมีความหวัง NTS ก็ยังมีข้อกังวลอยู่ในบางกรณี เช่น การใช้การเข้ารหัสแบบอสมมาตรอาจทำให้เกิดความเสี่ยงในการที่ผู้โจมตีจะทำ DDoS โดยบังคับให้ระบบประมวลผลการเข้าและถอดรหัสที่นาน (จากเดิมที่นานและใช้ทรัพยากรเยอะพอสมควร) ในประเด็นนี้นั้น RFC8915 มีการระบุถึงผลกระทบที่ต่ำหากถูกโจมตีจริง เช่นเดียวกับกระบวนการตรวจสอบขนาดของข้อมูลเพื่อป้องกัน DDoS amplifcation ซึ่งก็ยังไม่สามารถทำได้ 100%

RFC เป็นแนวทางเพื่อการอ้างอิง การอิมพลีเมนต์แนวทางจาก RFC สามารถเกิดขึ้นถ้าในแบบที่แย่หรือดีกว่าซึ่งต้องติดตามกันต่อไป ทั้งนี้ใครสนใจที่จะอ่าน RFC ฉบับนี้โดยตรงสามารถเข้าอ่านได้ที่ https://tools.

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.

นักวิจัยด้านความปลอดภัยของ Trend Micro ได้เปิดเผยถึงมัลแวร์ Mirai สายพันธุ์ใหม่ที่ทำการกำหนดเป้าหมายโดยใช้ช่องโหว่ CVE-2020-10173 ซึ่งเป็นช่องโหว่ในเร้าเตอร์ Comtrend VR-3033

หลังจาก Proof-of-concept (PoC) ของช่องโหว่ CVE-2020-10173 ได้รับถูกเผยแพร่สู่สาธารณะบอทเน็ตต่างๆ ได้ทำการหาประโยชน์จากช่องโหว่นี้ รวมไปถึง Mirai ตามที่นักวิจัยด้านความปลอดภัยของ Trend Micro ได้กล่าว มัลแวร์ Mirai จะใช้ปัญหาที่เกิดจากช่องโหว่ Authenticated Command Injection ของเร้าเตอร์เพื่อทำการโจมตีเครือข่ายจากระยะไกล โดยช่องโหว่นี้จะอยู่ในเร้าเตอร์ Comtrend VR-3033

Mirai ถูกค้นพบครั้งแรกในปี 2559 และมีการเปิดเผยซอร์สโค้ดในเดือนตุลาคมของปีเดียวกันโดย Mirai เป็นนั้นจัดเป็นบอทเน็ตแบบปฏิเสธบริการ (DDoS)

เพื่อเป็นการป้องกันผู้ใช้ควรทำการอัพเดตเฟิร์มแวร์ของอุปกรณ์เราเตอร์ทุกครั้งที่มีการอัพเดต ทั้งนี้ผู้ใช้งานควรทำการใช้ความระมัดระวังในการใช้งานอินเตอร์เน็ต ไม่เข้าเว็บไซต์และดาวน์โหลดไฟล์จากเเหล่งที่ไม่รู้จักเพื่อป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา:

securityweek
blog.

“NXNSAttack” เทคนิคการโจมตี DDoS ที่มีขนาดใหญ่โดยสามารถเพิ่มขนาดการโจมตีได้ 2 ถึง 1,620 เท่า

ทีมนักวิชาการจากมหาวิทยาลัยเทลอาวีฟและศูนย์สหวิทยาการในเฮอร์ซลิยาประเทศอิสราเอลได้เปิดเผยถึงรายละเอียดเทคนิคการโจมตี DDoS ที่มีความรุนเเรงใหม่ โดยพวกเขาตั้งชื่อเทคนิคนี้ว่า “NXNSAttack” เทคนิคนี้ใช้ช่องโหว่ใน DNS server ซึ่งเทคนิคนี้จะสามารถทำให้เกิดการโจมตี DDoS ในสัดส่วนที่มหาศาลโดยมีอัตราส่วนขยายการโจมตี DDoS จากปกติเพิ่มเป็น 2 ถึง 1,620 เท่า

NXNSAttack เป็นช่องโหว่ที่เกิดขึ้นบน DNS resolver แบบ recursive ผู้โจมตีสามารถใช้ประโยชน์จากการส่ง request ไปยัง DNS resolver เป้าหมาย เมื่อเกิดการตอบสนองจาก DNS server ที่เป็นเป้าหมายเกิดความผิดผลาดและไม่ถูกต้องจาก DNS server จะทำให้เกิดการทำสำเนา DNS record ที่ถูกส่งมาและเพิ่มมากขึ้น

ซอฟต์แวร์ที่ได้รับผลกระทบคือ ISC BIND (CVE-2020-8616), NLnet labs Unbound (CVE-2020-12662), PowerDNS (CVE-2020-10995) และ CZ.NIC Knot Resolver (CVE-2020-12667) รวมไปถึงบริการ DNS server จากทั้ง Cloudflare, Google, Amazon, Microsoft, Oracle (DYN), Verisign, IBM Quad9 และ ICANN

ผู้ดูแลเซิร์ฟเวอร์ที่ใช้งาน DNS server แนะนำให้ทำการอัพเดต DNS Resolver เป็นเวอร์ชั่นล่าสุด

ผู้ที่สนใจเทคนิค "NXNSAttack" สามารถอ่านรายละเอียดเพิ่มเติมได้ที่: http://www.

นักวิจัยด้านความปลอดภัยของไซเบอร์จาก Bitdefender ค้นพบ IoT Botnet ชนิดใหม่ซึ่งถูกเรียกว่า Dark Nexus เพื่อใช้ทำการโจมตี DDoS ไปยังอุปกรณ์หลากหลายประเภท

Dark Nexus แพร่กระจายโดยใช้ช่องโหว่ CVE-2019-7256 ในการโจมตีอุปกรณ์ IoT ที่หลากหลายรวมเช่นเราท์เตอร์ ( Dasan Zhone, Dlink และ ASUS), กล้องวงจรปิดและกล้องจับความร้อน

CVE-2019-7256 เป็นช่องโหว่ Command-injection ใน Linear eMerge E3-Series และช่องโหว่การเรียกใช้โค้ดโจมตีจากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์ใน Netgear DGN1000 เราเตอร์

นักวิจัยพบความคล้ายคลึงของ Dark Nexus กับมัลแวร์ Qbot และ Mirai นักวิจัยยังกล่าวอีกว่า Dark Nexus บางเวอร์ชันมีคุณสมบัติ reverse proxy เพื่อให้เหยื่อทำหน้าที่เป็น proxy สำหรับสร้างโฮสต์ที่ติดเชื้อเป็นเซิร์ฟเวอร์ C2 ของผู้โจมตี เพื่อจัดเก็บไฟล์หรือ Payloads ที่จำเป็นในเครื่องแทนและใช้เป็นฐานโจมตีต่อไป ปัจจุบันพบ Dark Nexus มีมากกว่า 40 เวอร์ชัน

นักวิจัยจาก Bitdefender สันนิษฐานว่า Botnet ชนิดนี้อาจถูกสร้างขึ้นโดย greek.