Netlab ทีมนักวิจัยด้านความปลอดภัยของบริษัท Qihoo 360 จากจีนได้รายงานถึงการตรวจพบบ็อตเน็ตใหม่ที่มีชื่อว่า “Ttint” ที่กำลังใช้ประโยชน์จากช่องโหว่แบบ zero-day ในเราท์เตอร์ Tenda เพื่อทำการเเพร่กระจาย โดยการติดตั้งมัลแวร์บนเราท์เตอร์ Tenda เพื่อทำการสร้างบอทเน็ต IoT (Internet of Things)

จากรายงานของ Netlab ได้ระบุว่าบ็อตเน็ต Ttint เป็นบ็อตเน็ตสายพันธุ์เดียวกับ Mirai เนื่องจากถูกสร้างด้วยโค้ดเบสเดียวกัน โดยทั่วไปแล้วบ็อตเน็ตชนิดนี้จะถูกนำมาใช้เพื่อทำการโจมตี DDoS แต่ด้วยการพัฒนาฟังก์ชั่นการทำงานเพิ่มจึงทำให้ปัจจุบัน Ttint มีความสามารถเพิ่มเติมที่นอกเหนือจากการเเพร่กระจายบนเราเตอร์อีก 12 ฟังก์ชั่น โดยในการเเพร่กระจายนั้นบ็อตเน็ต Ttin จะใช้ประโยชน์จากช่องโหว่แบบ zero-day จำนวน 2 ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-10987 และ CVE-2018-14558 เป็นช่องโหว่ในเราท์เตอร์ Tenda

Netlab ได้เเนะนำให้ผู้ใช้เราเตอร์ Tenda ตรวจสอบเฟิร์มแวร์และทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของบ็อตเน็ต Ttint

ที่มา : Zdnet

นักวิจัยด้านความปลอดภัยของ Trend Micro ได้เปิดเผยถึงมัลแวร์ Mirai สายพันธุ์ใหม่ที่ทำการกำหนดเป้าหมายโดยใช้ช่องโหว่ CVE-2020-10173 ซึ่งเป็นช่องโหว่ในเร้าเตอร์ Comtrend VR-3033

หลังจาก Proof-of-concept (PoC) ของช่องโหว่ CVE-2020-10173 ได้รับถูกเผยแพร่สู่สาธารณะบอทเน็ตต่างๆ ได้ทำการหาประโยชน์จากช่องโหว่นี้ รวมไปถึง Mirai ตามที่นักวิจัยด้านความปลอดภัยของ Trend Micro ได้กล่าว มัลแวร์ Mirai จะใช้ปัญหาที่เกิดจากช่องโหว่ Authenticated Command Injection ของเร้าเตอร์เพื่อทำการโจมตีเครือข่ายจากระยะไกล โดยช่องโหว่นี้จะอยู่ในเร้าเตอร์ Comtrend VR-3033

Mirai ถูกค้นพบครั้งแรกในปี 2559 และมีการเปิดเผยซอร์สโค้ดในเดือนตุลาคมของปีเดียวกันโดย Mirai เป็นนั้นจัดเป็นบอทเน็ตแบบปฏิเสธบริการ (DDoS)

เพื่อเป็นการป้องกันผู้ใช้ควรทำการอัพเดตเฟิร์มแวร์ของอุปกรณ์เราเตอร์ทุกครั้งที่มีการอัพเดต ทั้งนี้ผู้ใช้งานควรทำการใช้ความระมัดระวังในการใช้งานอินเตอร์เน็ต ไม่เข้าเว็บไซต์และดาวน์โหลดไฟล์จากเเหล่งที่ไม่รู้จักเพื่อป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา:

securityweek
blog.

ทีมนักวิจัยชาวจีนจาก Qihoo 360 Netlab ได้ประกาศการค้นพบมัลแวร์ ADB.Miner ที่สามารถแพร่กระจา่ยตัวเองได้บนระบบปฏิบัติการแอนดรอยด์ซึ่งมีเป้าหมายในการแสวงหาผลกำไรจากสกุลเงินออนไลน์เสมือนผ่านทางการแสกนหาอุปกรณ์ที่มีช่องโหว่

พฤติกรรมของ ADB.Miner ถูกออกแบบมาให้เลียนแบบการทำงานของบ็อตเน็ตชื่อดังอย่าง Mirai โดยมันจะทำการสแกนหาอุปกรณ์ที่ใช้แอนดรอยด์ทั้งหมดไม่ว่าจะเป็นโทรศัพท์มือถือ สมาร์ททีวีหรืออุปกรณ์อื่นๆ ที่เปิดให้สามารถเข้าถึงจากระยะไกลที่พอร์ต 5555/TCP เพื่อทำการติดตั้งมัลแวร์ ซึ่งอย่างไม่มีการเปิดเผยในขณะนี้ว่ามีการใช้เทคนิคใดร่วมด้วยหรือเปล่า

พอร์ต 5555/TCP เป็นพอร์ตของซอฟต์แวร์ Android Debug Bridge (ADB) ซึ่งเป็นซอฟต์แวร์สำหรับช่วยให้นักพัฒนาสามารถตรวจสอบการทำงานของแอปแอนดรอยด์ได้จากคอมพิวเตอร์
Recommendation แนะนำให้ตรวจสอบการใช้งานของอุปกรณ์แอนดรอยด์เพื่อหาความผิดปกติอย่างสม่ำเสมอ ไม่ติดตั้งแอปที่ต้องสงสัยและปฏิบัติตามข้อควรปฏิบัติเพื่อการใช้งานที่ปลอดภัยอย่างเคร่งครัด

แนะนำให้ตรวจสอบการใช้งานของอุปกรณ์แอนดรอยด์เพื่อหาความผิดปกติอย่างสม่ำเสมอ ไม่ติดตั้งแอปที่ต้องสงสัยและปฏิบัติตามข้อควรปฏิบัติเพื่อการใช้งานที่ปลอดภัยอย่างเคร่งครัด

ที่มา : TheHackerNews

นักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ค้นพบมัลแวร์ตัวใหม่ชื่อ IoTroop เมื่อเดือนกันยายน และพบว่า 60% อุปกรณ์ Network มีช่องโหว่

IoTroop มีเป้าหมายเชื่อมต่อกับอุปกรณ์ที่ไม่ได้รับการป้องกัน เช่น Routers และ Wireless IP Cameras ที่ผลิตโดย D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology และ GoAhead มัลแวร์จะแพร่กระจายไปยังอุปกรณ์ IoT ที่เข้าถึงได้จาก Default Password และ Usernames จากนั้นทำการเปลี่ยนให้อุปกรณ์ IoT กลายเป็น Botnet และโจมตี Distributed Denial of Service (DDoS) มีองค์กรต่างๆ ทั่วโลกกว่าล้านแห่งที่ได้รับผลกระทบและยังคงเพิ่มสูงขึ้น

มัลแวร์ IoTroop มีความคล้ายคลึงกับ Mirai แต่มีความแตกต่างระหว่างมัลแวร์ตัวนี้กับ Mirai คือมีความซับซ้อนมากขึ้นและใช้ช่องโหว่มากกว่าสิบรายการเข้าควบคุมอุปกรณ์ ในกรณี Wireless IP Camera ของ GoAhead ผู้บุกรุกใช้ช่องโหว่การ Bypass Authentication (CVE-2017-8225) ซึ่งมีผลกระทบมากกว่า 1,250 รุ่น สำหรับอุปกรณ์อื่นๆ เช่น Linksys RangePlus WRT110 Wireless Router ถูกโจมตีผ่านช่องโหว่ Remote command execution ช่องโหว่นี้มีอยู่เพราะ router’s web interface ไม่สามารถ sanitize ping เป้าหมายและขาดการป้องกันการปลอมแปลง Tokens ผู้ที่อยู่เบื้องหลังมีการระบุเซิร์ฟเวอร์คำสั่ง ควบคุมและมีการอัพเดตกลุ่มที่อยู่ไอพีสำหรับเข้าโจมตี

ยังไม่ทราบแน่ชัดว่าใครเป็นผู้อยู่เบื้องหลัง malware/botnet แฮกเกอร์มีเป้าหมายที่ใด และมีระยะเวลาในการโจมตีนานเท่าใด

ที่มา : threatpost