Mirai botnet สายพันธุ์ใหม่ที่ชื่อว่า 'V3G4' กำลังโจมตีเซิร์ฟเวอร์ที่ใช้ Linux และอุปกรณ์ IoT โดยการใช้ช่องโหว่อย่างน้อย 13 รายการ เพื่อเข้าควบคุมระบบ และนำมาใช้ในการโจมตีแบบ DDoS (distributed denial of service)
มัลแวร์จะแพร่กระจายโดยการ brute force credentials บน telnet/SSH รวมถึงการใช้ประโยชน์จากช่องโหว่บน hardcoded เพื่อสั่งรันโค้ดที่เป็นอันตรายบนเครื่องเป้าหมาย เมื่อสามารถโจมตีได้สำเร็จ มัลแวร์จะถูกติดตั้งบนเครื่องเหยื่อ และจะถูกนำเข้าสู่การควบคุมในฐานะ botnet (more…)
Shikitega เป็นมัลแวร์บน Linux ตัวใหม่ ที่ถูกพบว่าใช้วิธีการโจมตีหลายขั้นตอนเพื่อเข้าควบคุมเครื่อง และอุปกรณ์ IoT
AT&T Alien Labs ระบุในรายงานถึงผู้โจมตีที่สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์ นอกจากนั้นยังมีการติดตั้งมัลแวร์สำหรับขุดเหรียญ cryptocurrency รวมไปถึงวิธีการอื่น ๆ ที่ทำให้สามารถแฝงตัวอยู่บนระบบได้
ปัจจุบันเริ่มมีการพบ Linux malware มากขึ้นเรื่อย ๆ ในช่วงไม่กี่เดือนที่ผ่านมา เช่น BPFDoor, Symbiote, Syslogk, OrBit และ Lightning Framework
เมื่อสามารถติดตั้งลงบนเครื่องเหยื่อที่เป็นเป้าหมาย ตัวมัลแวร์จะเริ่มทำการดาวน์โหลด และเรียกใช้งานเครื่องมือที่ชื่อว่า "Mettle" ของ Metasploit เพื่อเข้าควบคุมระบบ และใช้ประโยชน์จากช่องโหว่อื่น ๆ เพื่อทำการยกระดับสิทธิ์ เพิ่ม crontab เพื่อทำให้ตัวมันสามารถแฝงตัวทำงานอยู่บนเครื่องเหยื่อได้ และแอบติดตั้ง มัลแวร์สำหรับขุดเหรียญ cryptocurrency บนเครื่องเหยื่ออีกด้วย
วิธีการที่ผู้โจมตีใช้ในการโจมตีเป็นขั้นตอนแรกนั้นยังไม่ทราบแน่ชัด แต่สิ่งที่ทำให้ Shikitega สามารถหลบเลี่ยงการตจรวจจับได้คือ ความสามารถในการดาวน์โหลดเพย์โหลดจากเซิร์ฟเวอร์ command-and-control (C2) และสั่งรันโดยตรงในหน่วยความจำ
ส่วนการยกระดับสิทธิ์มักจะทำได้โดยใช้ประโยชน์จากช่องโหว่ CVE-2021-4034 (aka PwnKit) และ CVE-2021-3493 เพื่อทำให้ผู้โจมตีได้สิทธิ์ root ในการรัน shell scripts เพื่อแฝงตัวอยู่บนระบบต่อ และติดตั้ง Monero crypto miner
ในการหลีกเลี่ยงการตรวจจับ ผู้โจมตีจะใช้ "Shikata ga nai" ซึ่งเป็นตัวเข้ารหัสแบบ polymorphic ซึ่งทำให้ยากต่อการตรวจจับโดย antivirus engines ส่วน command-and-control (C2) ก็จะใช้บริการคลาวด์ที่ได้รับความนิยมโดยทั่วไป
มัลแวร์ Shiketega มีรูปแบบที่ค่อนข้างซับซ้อน นอกจากการใช้ตัวเข้ารหัสแบบ polymorphic และค่อย ๆ ส่งเพย์โหลดแล้ว ในแต่ละขั้นตอนก็จะเผยให้เห็นข้อมูลของเพย์โหลดเพียงแค่บางส่วนเท่านั้น
ที่มา : thehackernews
นักวิจัยจากบริษัท Vdoo บริษัทด้านรักษาความปลอดภัย IoT ของประเทศอิสราเอล ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่ที่สำคัญ 6 รายการในโมดูล Wi-Fi Realtek RTL8195A ซึ่งอาจถูกนำไปใช้ประโยชน์เพื่อเข้าถึงรูทและควบคุมอุปกรณ์การสื่อสารไร้สายของได้อย่างสมบูรณ์
Realtek RTL8195A เป็นโมดูลฮาร์ดแวร์ Wi-Fi แบบสแตนด์อโลนใช้พลังงานต่ำถูกใช้ในอุปกรณ์ Embedded หลายตัวที่ใช้ในหลายอุตสาหกรรมเช่นการเกษตร, สมาร์ทโฮม, สุขภาพ, เกมและภาคยานยนต์
ช่องโหว่ที่สำคัญถูกติดตามด้วยรหัส CVE-2020-9395 ซึ่งเป็นช่องโหว่ Buffer overflow ที่จะอนุญาตให้ผู้โจมตีที่อยู่ใกล้โมดูล RTL8195 เข้ายึดโมดูลได้โดยไม่ต้องรู้รหัสผ่านเครือข่าย Wi-Fi ไม่ว่าโมดูลจะทำหน้าที่เป็นจุดเชื่อมต่อ Wi-Fi (AP) หรือไคลเอนต์ สำหรับช่องโหว่ที่สำคัญอีกช่องโหว่หนึ่งคือ CVE-2020-25854 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบนไคลเอนต์ Wi-Fi ได้
นักวิจัยจากบริษัท Vdoo ได้ทำการทดสอบช่องโหว่โดยใช้โมดูล RTL8195A แต่นักวิจัยกล่าวว่าโมดูลอื่นๆ เช่น RTL8711AM, RTL8711AF และ RTL8710AF ก็ได้รับผลกระทบอีกเช่นกัน
ทั้งนี้ Realtek ได้เปิดตัวเฟิร์มแวร์ Ameba Arduino 2.0.8 ซึ่งเป็นเฟิร์มแวร์สำหรับแพตช์ช่องโหว่ทั้ง 6 ที่พบโดยนักวิจัยจากบริษัท Vdoo ผู้ใช้งานควรทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย
ที่มา: thehackernews.
ผู้เชี่ยวชาญด้านความปลอดภัยจาก JSOF ได้เปิดเผยถึงช่องโหว่ Zero-day จำนวน 19 รายการในไลบรารีที่มีการใช้กันอย่างแพร่หลายทั้งระดับองค์กรและระดับผู้บริโภคในช่วง 20 ปีที่ผ่านมา และประเมินว่าน่าจะมีอุปกรณ์ IoT ได้รับผลกระทบกว่า 100 ล้านชิ้นในหลากหลายอุตสาหกรรม
Ripple20 เกิดขึ้นจากไลบรารี TCP/IP ของบริษัท Treck ซึ่งทำให้อุปกรณ์หรือซอฟต์แวร์สามารถเชื่อมต่ออินเทอร์เน็ตได้บน TCP/IP ประเด็นที่ JSOF ได้สนใจเพราะว่าไลบรารีตัวนี้ถูกนำไปใช้ในอุปกรณ์ IoT มากมายหลากหลายอุตสาหกรรมทั้ง Printer, Router, Data Center, อุปกรณ์ในภาคอุตสาหกรรม หรือแม้กระทั่งอุปกรณ์สื่อสารผ่านดาวเทียม
ช่องโหว่จำนวนหนึ่งมีระดับความร้ายแรงดังนี้
CVE-2020-11896 (CVSSv3: 10/10) – จัดการ Parameter Length ของ IPv4/UDP ในแพ็คเกตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่ Remote Code Execution
CVE-2020-11897 (CVSSv3: 10/10) – จัดการ Parameter Length ของ IPv6 ในแพ็คเกตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่ out-of-bound-write
CVE-2020-11898 (CVSSv3: 9.8/10) – จัดการ Parameter Length ของ IPv4/ICMPv4 ในแพ็คเกตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่การเปิดเผยข้อมูล
CVE-2020-11899 (CVSSv3: 9.8/10) – ตรวจสอบ Input ของ IPv6 ในแพ็คเกตที่ถูกส่งเข้ามาได้ไม่ดีพอทำให้สามารถนำไปสู่การเปิดเผยข้อมูล
ความยากในการจัดการปัญหายังถูกระบุในงานวิจัยว่า อันเนื่องจากปัญหาที่เกิดขึ้นในอุปกรณ์ IoT นั้นเป็นไปได้ยากที่จะได้รับการแก้ไขผ่านการอัปเดตเฟิร์มแวร์ได้อย่างครบถ้วนสมบูรณ์ ผู้ใช้งานจึงควรเพิ่มความระมัดระวังในการใช้งาน และในขณะเดียวกันก็ควรที่จะตระหนักรู้ถึงความเสี่ยงเหล่านี้ด้วย
ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่เว็บไซต์ https://www.
สมาร์ทโฟน, แล็ปท็อป, อุปกรณ์ IoT เสี่ยงต่อการถูกโจมตีจากช่องโหว่ใหม่ “BIAS Bluetooth”
นักวิจัยได้เปิดเผยช่องโหว่ใหม่รหัส CVE-2020-10135 บนโปรโตคอลการเชื่อมต่อ Bluetooth ที่ใช้กันอย่างแพร่หลายในสมาร์ทโฟน, แท็บเล็ต, แล็ปท็อปและอุปกรณ์ IoT
ช่องโหว่นี้มีชื่อว่า “BIAS: Bluetooth Impersonation AttackS” ซึ่งช่องโหว่จะส่งผลกระทบต่อโปรโตคอลการเชื่อมต่อด้วย Bluetooth Classic โดยช่องโหว่นี้จะอนุญาตให้ผู้โจมตีทำการปลอมแปลงข้อมูลของอุปกรณ์ที่ถูกจับคู่และทำการเชื่อมต่อกับอุปกรณ์โดยที่ไม่ทำการพิสูจน์ตัวตน
ทีมวิจัยกล่าวว่าพวกเขาทดสอบชิป Bluetooth จาก Cypress, Qualcomm, Apple, Intel, Samsung และ CSR อุปกรณ์ทั้งหมดที่เราทดสอบนั้นมีความเสี่ยงต่อการโจมตีของ BIAS
หลังจากการทดสอบนักจัยได้รายงานช่องโหว่ต่อ Bluetooth Special Interest Group (Bluetooth SIG) หรือองค์กรมาตรฐานการพัฒนาเทคโนโลยี Bluetooth ในเดือนธันวาคม 2019 ที่ผ่านมา
Bluetooth SIG กล่าวว่าหลังจากรับทราบถึงช่องโหว่พวกเขาได้อัปเดตข้อมูลและทำการเเก้ไขช่องโหว่แล้วใน Bluetooth Core เพื่อป้องกันไม่ให้ผู้โจมตีทำการโจมตีช่องโหว่ BIAS และคาดว่าผู้จำหน่ายอุปกรณ์ Bluetooth จะทำการรอัพเดตเฟิร์มแวร์ในเร็วๆ นี้เพื่อแก้ไขปัญหาช่องโหว่ดังกล่าว
ผู้ที่สนใจรายละเอียดงานวิจัย "BIAS: Bluetooth Impersonation AttackS” สามารถอ่านเพิ่มเติมได้ที่ https://francozappa.
ช่องโหว่ Kr00k กระทบอุปกรณ์จำนวนมาก
ช่องโหว่การเข้ารหัส Wi-Fi ใหม่มีผลต่ออุปกรณ์กว่าพันล้านเครื่อง นักวิจัยด้านความปลอดภัยด้านไซเบอร์ได้ค้นพบช่องโหว่ฮาร์ดแวร์ใหม่ที่มีความรุนแรงสูงซึ่งอยู่ในชิป Wi-Fi ที่ใช้กันอย่างแพร่หลายที่ผลิตโดย Broadcom และ Cypress เห็นได้ชัดว่ามีผลต่ออุปกรณ์กว่าพันล้านเครื่องรวมถึง smartphones, tablets, laptops, routers เเละอุปกรณ์ IoTมันถูกขนานนามว่า 'Kr00k' เเละได้รับรหัส CVE-2019-15126 ข้อบกพร่องนี้อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียง ดักจับ และถอดรหัสแพ็คเก็ตที่ส่งผ่านทางเครือข่ายไร้สายได้โดยช่องโหว่ของอุปกรณ์
ผู้โจมตีไม่จำเป็นต้องเชื่อมต่อไปยังเครือข่ายไร้สายของเหยื่อ โดยสามารถใช้ได้กับ protocol ทั้ง WPA2-Personal และ WPA2-Enterprise ที่ใช้การเข้ารหัสแบบ AES-CCMP
ข้อบกพร่องของ Kr00k นั้นค่อนข้างเกี่ยวข้องกับการโจมตี KRACK ซึ่งเป็นเทคนิคที่ทำให้ผู้โจมตีแฮกรหัสผ่าน Wi-Fi ได้ง่ายขึ้น โดยใช้โปรโตคอลเครือข่าย WPA2 ที่ใช้กันอย่างแพร่หลาย
สิ่งที่ควรทราบเกี่ยวกับ Kr00k
ช่องโหว่ Kr00k ไม่ได้อยู่ในโปรโตคอลการเข้ารหัส Wi-Fi แต่อยู่ในวิธีที่ชิป Wi-Fi นำวิธีการเข้ารหัสนั้นมาประยุกต์ใช้
ช่องโหว่ Kr00k ไม่ใช่ช่องโหว่ที่ผู้โจมตีสามารถเชื่อมต่อกับเครือข่าย Wi-Fi และโจมตีแบบ man-in-the-middle
ช่องโหว่ Kr00k ทำให้ให้ผู้โจมตีทราบรหัสผ่าน Wi-Fi ของคุณ และการเปลี่ยนมันไม่ได้ช่วยให้คุณแก้ไขปัญหาได้
ช่องโหว่ Kr00k ไม่ส่งผลกระทบต่ออุปกรณ์สมัยใหม่ที่ใช้โปรโตคอล WPA3 (มาตรฐานความปลอดภัย Wi-Fi ล่าสุด)
ช่องโหว่ Kr00k ไม่กระทบการเข้ารหัส TLS เมื่อเข้าชมเว็บไซต์ที่ใช้ HTTP
ช่องโหว่ Kr00k ลดระดับความปลอดภัยของคุณไปอีกขั้นหนึ่ง โดยผู้โจมตีจะสามารถดักจับข้อมูลได้หากมีการใช้งาน network traffic ที่ไม่ได้มีการเข้ารหัสใน layer ต่อไป เช่น เข้าชมเว็บที่ไม่ได้ใช้ HTTPS
การโจมตีตั้งอยู่บนพื้นฐานที่ว่าเมื่ออุปกรณ์ถูกตัดการเชื่อมต่อจากเครือข่าย wireless ชิป Wi-Fi จะล้าง session key ในหน่วยความจำและตั้งค่าเป็นศูนย์ แต่ข้อผิดพลาดเกิดเมื่อชิปจะส่งเฟรมข้อมูลทั้งหมดที่เหลืออยู่ในบัฟเฟอร์โดยไม่ได้ตั้งใจด้วยคีย์เข้ารหัสที่เป็นศูนย์ทั้งหมดแม้หลังจากการยกเลิกการเชื่อมต่อเเล้ว ดังนั้นผู้โจมตีในบริเวณใกล้เคียงกับอุปกรณ์ที่มีช่องโหว่สามารถใช้ข้อบกพร่องนี้
นักวิจัย ESET รายงานปัญหานี้ ไปยังผู้ผลิตชิป Broadcom เเละ Cypress ที่ได้รับผลกระทบแล้วตั้งแต่เมื่อปีที่แล้วรวมถึงผู้ผลิตอุปกรณ์หลายรายที่ได้รับผลกระทบ ซึ่งผู้ผลิตเหล่านี้ต้องรับผิดชอบออกซอฟต์แวร์หรือเฟิร์มแวร์เพื่อแก้ไขช่องโหว่นี้
ที่มา : thehackernews
Cisco แก้ช่องโหว่ Cisco Discovery Protocol (CDP) กระทบหลายผลิตภัณฑ์
5 ช่องโหว่ในระดับ critical ถูกค้นพบในการ Cisco Discovery Protocol (CDP) ช่องโหว่เหล่านี้อนุญาตให้ผู้โจมตีที่เข้าถึง local network สามารถยึดอุปกรณ์ได้ กระทบอุปกรณ์เน็ตเวิร์คระดับองค์กรมากกว่าล้านชิ้น ช่องโหว่เหล่านี้ถูกค้นพบโดยบริษัทด้านความปลอดภัยของ IoT (Armis)
CDP คือโปรโตคอลที่มีการใช้งานใน Layer 2 (Data Link Layer) บนอุปกรณ์เน็ตเวิร์คที่เป็นของทาง Cisco มีค่าตั้งค่าเริ่มต้นให้มีการใช้งานในทุกอุปกรณ์ โดยปัจจุบันยังไม่มีให้แก้ไขหรือปิดการใช้งานจากผู้ใช้งานได้โดยตรง
Aimis ได้แสดงวีดีโอสาธิตการใช้ช่องโหว่ใน CDP ซึ่งมีการตั้งชื่อเล่นให้ว่า CDPwn ช่องโหว่ที่พบเป็นช่องโหว่เกี่ยวกับ Remote code execution 4 ช่องโหว่ และ denial of service 1 ช่องโหว่ จากการสาธิตแสดงให้เห็นว่านักวิจัยสามารถดักฟังข้อมูลจากโทรศัพท์ ภาพ และ เสียง ขโมยข้อมูลผ่านทาง switch รวมถึงทำการโจมตีข้ามไปยังเครือข่ายต่างๆ ได้
ช่องโหว่ CDPwn ส่งผลต่ออุปกรณ์ของ Cisco มากมายรวมถึงเราเตอร์ Cisco IOS XR สวิตช์ Cisco NX-OS, ระบบ Cisco NCS, ไฟร์วอลล์ Cisco FirePower, Cisco 8000 IP Camera Series และ Cisco IP Phone 7800 และ 8800 series
ปัจจุบัน Cisco ได้ให้ข้อมูลอัปเดตเพิ่มเติมและรายละเอียดการลดผลกระทบจากช่องโหว่ของ CDPwn ในหน้า Security Advisory เมื่อวันที่ 5 กุมภาพันธ์ร่วมกับ Armis โดยสามารถดูได้จาก https://tools.
พบช่องโหว่ 11 รายการ ส่งผลให้อุปกรณ์ IoT หลายล้านรายการมีความเสี่ยง
นักวิจัยจาก Armis ออกรายงานแจ้งเตือนว่าพบช่องโหว่ในระบบปฏิบัติการที่ชื่อว่า “VxWorks” ซึ่งถูกใช้ในอุปกรณ์ IoT มากกว่าหลายล้านรายการทั่วโลก อาทิเช่น อุปกรณ์ทางการแพทย์, router, VOIP และอุปกรณ์โครงสร้างพื้นฐาน โดยได้ตั้งชื่อรายการช่องโหว่เหล่านี้ว่า “Urgent/11”
ช่องโหว่ทั้ง 11 รายการ เป็นปัญหาในส่วนของ TCP/IP โปรโตคอลของ VxWorks (IPnet) แบ่งออกเป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งอันตราย (RCE) บนอุปกรณ์ได้ 6 รายการ และอีก 5 รายการถูกระบุว่าเป็นช่องโหว่ที่ส่งผลให้อุปกรณ์ไม่สามารถทำงานต่อไปได้ (DoS) หรือข้อมูลรั่วไหลบนอุปกรณ์ (data leakage)
นักวิจัยได้ทำการแจ้งไปยัง Wind River บริษัทที่เป็นผู้ครอบครองระบบปฏิบัติการ VxWorks และบริษัทได้ออกแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าวออกมาแล้ว ทั้งนี้ระบบปฏิบัติการที่ได้รับผลกระทบประกอบด้วย:
- VxWorks 7 (SR540 และ SR610)
- VxWorks 6.5-6.9
- VxWorks ที่มีการใช้งาน Interpeak network stack
รายงานระบุว่ายังไม่พบว่ามีการใช้ช่องโหว่ดังกล่าวโจมตีเกิดขึ้น และมี snort rule สำหรับตรวจจับการโจมตี ผู้สนใจสามารถศึกษาได้จากรายงานฉบับเต็ม
รายงานฉบับเต็มจาก Armis: https://go.
พบช่องโหว่ส่งผลกระทบต่อ Embedded web server ใน อุปกรณ์ IoT หลายแสนรายการ
Embedthis Software LLC บริษัทผู้ผลิต Software สำหรับอุปกรณ์ Embedded จากประเทศสหรัฐอเมริกา รวมทั้งเป็นผู้ให้บริการ GoAhead ซึ่งเป็นเว็บเซิร์ฟเวอร์ขนาดเล็กที่ทำงานบนอุปกรณ์ที่มีทรัพยากรจำกัด เช่น อุปกรณ์ Internet of Things (IoT), Routers, printers และอุปกรณ์เครือข่ายอื่น ๆ โดยปัจจุบันเป็นที่นิยมอย่างมากในผู้จัดจำหน่ายฮาร์ดแวร์
ล่าสุดนักวิจัยด้านความปลอดภัยจาก บริษัท Elttam ของออสเตรเลียพบวิธีการรันโค้ดที่เป็นอันตรายได้จากระยะไกลบนอุปกรณ์ที่ใช้แพ็คเกจเว็บเซิร์ฟเวอร์จาก GoAhead ซึ่งจากหน้าเว็ปไซต์ของ Embedthis พบว่ามีการนำไปใช้ในผลิตภัณฑ์ของบริษัทที่มีชื่อเสียงขนาดใหญ่หลายรายการ เช่น Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon และอื่น ๆ ช่องโหว่นี้ได้รับรหัส CVE-2017-17562 ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้หากมีการเปิดใช้งาน CGI และ CGI เป็นแบบ dynamically linked ซึ่งเป็นการตั้งค่าทั่วไป
Elttam ได้รายงานช่องโหว่ไปยัง Embedthis และได้มีการปล่อยแพทช์ออกมาเรียบร้อยแล้ว โดยคาดว่าเว็บเซิร์ฟเวอร์ของ GoAhead ทุกเวอร์ชันก่อนหน้า 3.6.5 จะได้รับผลกระทบทั้งหมด แม้ว่าปัจจุบัน Embedthis ได้ทำการออกแพทซ์ส่วนของตนเองแล้ว แต่ในส่วนการอัพเดท Firmware บนอุปกรณ์ของผู้ผลิตแต่ละรายที่นำไปใช้นั้น อาจต้องใช้สักระยะเวลาหนึ่งในการออกอัพเดท รวมถึงอุปกรณ์เก่าอื่นๆ ที่ end-of-life ไปแล้วอาจจะไม่ได้รับการอัพเดทเพื่ออุดช่องโหว่ดังกล่าว ทั้งนี้จากการค้นหาด้วย Shodan พบว่ามีอุปกรณ์ออนไลน์อยู่ 500,000 ถึง 700,000 ชิ้นที่ได้รับผลกระทบ
ที่มา : bleepingcomputer
นักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ค้นพบมัลแวร์ตัวใหม่ชื่อ IoTroop เมื่อเดือนกันยายน และพบว่า 60% อุปกรณ์ Network มีช่องโหว่
IoTroop มีเป้าหมายเชื่อมต่อกับอุปกรณ์ที่ไม่ได้รับการป้องกัน เช่น Routers และ Wireless IP Cameras ที่ผลิตโดย D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology และ GoAhead มัลแวร์จะแพร่กระจายไปยังอุปกรณ์ IoT ที่เข้าถึงได้จาก Default Password และ Usernames จากนั้นทำการเปลี่ยนให้อุปกรณ์ IoT กลายเป็น Botnet และโจมตี Distributed Denial of Service (DDoS) มีองค์กรต่างๆ ทั่วโลกกว่าล้านแห่งที่ได้รับผลกระทบและยังคงเพิ่มสูงขึ้น
มัลแวร์ IoTroop มีความคล้ายคลึงกับ Mirai แต่มีความแตกต่างระหว่างมัลแวร์ตัวนี้กับ Mirai คือมีความซับซ้อนมากขึ้นและใช้ช่องโหว่มากกว่าสิบรายการเข้าควบคุมอุปกรณ์ ในกรณี Wireless IP Camera ของ GoAhead ผู้บุกรุกใช้ช่องโหว่การ Bypass Authentication (CVE-2017-8225) ซึ่งมีผลกระทบมากกว่า 1,250 รุ่น สำหรับอุปกรณ์อื่นๆ เช่น Linksys RangePlus WRT110 Wireless Router ถูกโจมตีผ่านช่องโหว่ Remote command execution ช่องโหว่นี้มีอยู่เพราะ router’s web interface ไม่สามารถ sanitize ping เป้าหมายและขาดการป้องกันการปลอมแปลง Tokens ผู้ที่อยู่เบื้องหลังมีการระบุเซิร์ฟเวอร์คำสั่ง ควบคุมและมีการอัพเดตกลุ่มที่อยู่ไอพีสำหรับเข้าโจมตี
ยังไม่ทราบแน่ชัดว่าใครเป็นผู้อยู่เบื้องหลัง malware/botnet แฮกเกอร์มีเป้าหมายที่ใด และมีระยะเวลาในการโจมตีนานเท่าใด
ที่มา : threatpost