Netlab ทีมนักวิจัยด้านความปลอดภัยของบริษัท Qihoo 360 จากจีนได้รายงานถึงการตรวจพบบ็อตเน็ตใหม่ที่มีชื่อว่า “Ttint” ที่กำลังใช้ประโยชน์จากช่องโหว่แบบ zero-day ในเราท์เตอร์ Tenda เพื่อทำการเเพร่กระจาย โดยการติดตั้งมัลแวร์บนเราท์เตอร์ Tenda เพื่อทำการสร้างบอทเน็ต IoT (Internet of Things)

จากรายงานของ Netlab ได้ระบุว่าบ็อตเน็ต Ttint เป็นบ็อตเน็ตสายพันธุ์เดียวกับ Mirai เนื่องจากถูกสร้างด้วยโค้ดเบสเดียวกัน โดยทั่วไปแล้วบ็อตเน็ตชนิดนี้จะถูกนำมาใช้เพื่อทำการโจมตี DDoS แต่ด้วยการพัฒนาฟังก์ชั่นการทำงานเพิ่มจึงทำให้ปัจจุบัน Ttint มีความสามารถเพิ่มเติมที่นอกเหนือจากการเเพร่กระจายบนเราเตอร์อีก 12 ฟังก์ชั่น โดยในการเเพร่กระจายนั้นบ็อตเน็ต Ttin จะใช้ประโยชน์จากช่องโหว่แบบ zero-day จำนวน 2 ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-10987 และ CVE-2018-14558 เป็นช่องโหว่ในเราท์เตอร์ Tenda

Netlab ได้เเนะนำให้ผู้ใช้เราเตอร์ Tenda ตรวจสอบเฟิร์มแวร์และทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของบ็อตเน็ต Ttint

ที่มา : Zdnet

นักวิจัยด้านความปลอดภัยของ Qihoo 360 จากประเทศจีนเปิดเผยการโจมตี Hijacked บนเราเตอร์ที่ใช้ในบ้านกว่า 100,000 เครื่องพร้อมทำการแก้ไขการตั้งค่า DNS เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานไปยังเว็บไซต์ที่เป็นอันตราย (phishing site) เพื่อขโมยข้อมูลสำคัญในการเข้าสู่ระบบของผู้ใช้ โดยตั้งชื่อแคมเปญดังกล่าวว่า GhostDNS

Netlab นักวิจัยด้านความปลอดภัยของ Qihoo 360 เปิดเผยการทำงานของ GhostDNS ว่าจะทำการสแกนหา IP ของเราเตอร์ที่มีช่องโหว่ ใช้รหัสผ่านที่คาดเดาง่ายหรือไม่มีรหัสผ่านในการเข้าสู่ระบบการตั้งค่าเราเตอร์ และทำการแก้ไขการตั้งค่า DNS ใหม่ เพื่อ redirects การร้องขอ DNS ของผู้ใช้งานทั้งหมดที่ส่งผ่านเราเตอร์ที่ถูกบุกรุกไปยัง DNS Server ที่เป็นอันตรายเพื่อขโมยข้อมูลส่วนตัวของผู้ใช้ ทำให้เมื่อผู้ใช้พยายามเข้าสู่เว็บไซต์ที่ถูกต้องจะถูกส่งไปยังเว็บไซต์ที่อันตรายแทน ซึ่งเว็บไซต์ที่ถูก redirect ส่วนใหญ่เป็นเว็บไซต์ของธนาคารในประเทศบราซิลและบริการเว็บโฮสติ้งต่างๆ เช่น Netflix, Citibank.