WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Biến thể mới của botnet Mirai đang rà quét bộ định tuyến Tenda
Moobot, một biến thể mới của botnet Mirai, được phát hiện đang rà quét Internet để tìm các bộ định tuyến Tenda tồn tại lỗ hổng.
Các nhà nghiên cứu từ AT&T Alien Lab phát hiện biến thể Moobot của botnet Mirai đang rà quét Internet để tìm kiếm lỗ hổng thực thi mã từ xa CVE-2020-10987 trong bộ định tuyến Tenda. Mạng botnet được liên kết với một miền lưu trữ mã độc đã cung cấp biến thể Mirai cho một số mạng botnet khác nhau trong năm vừa qua.
Theo các chuyên gia, lỗ hổng này thường không được nhắm mục tiêu bởi các máy quét web.
“Vào cuối tháng 3, AT&T Alien Labs thấy sự gia tăng đột biến của các nỗ lực khai thác lỗ hổng CVE-2020-10987 trong bộ định tuyến Tenda, ở một lượng lớn khách hàng, trong khoảng vài giờ”.
Quá trình quét lỗ hổng CVE-2020-10987 chỉ kéo dài một ngày và cùng tên miền lưu trữ mã độc đó có liên quan đến các hoạt động nhắm vào các lỗ hổng khác:
• Cổng 80 và 8080: Axis SSI RCE.
• Cổng 34567: Máy quét DVR thử thông tin đăng nhập mặc định cho ứng dụng video chính của Sofia.
• Cổng 37215: Lỗ hổng RCE của bộ định tuyến gia đình Huawei (CVE-2017-17215).
• Cổng 52869: Realtek SDK Miniigd UPnP SOAP Command Execution (CVE-2014-8361).
Tất cả biến thể đều có chung trang lưu trữ mã độc, dns.cyberium[.]cc. Điều tra sâu hơn cho thấy một số chiến dịch ít nhất có từ tháng 5/2020.
Mỗi chiến dịch sử dụng một trang miền phụ khác nhau trong tên miền Cyberium.
“Trong thời gian miền này hoạt động và phân phối mã độc, ít nhất ba biến thể khác nhau của Mirai đã được xác định: Moobot, Satori/Fbot và các mẫu khác không có mối liên hệ với các botnet này. Một trong những điểm đặc biệt của miền này là cách nó kết hợp các biến thể Mirai. Cùng một URL có thể lưu trữ Satori một ngày và Moobot vào tuần sau”.
Sau khi xâm nhập thiết bị IoT, mã độc kết nối với miền Cyberium để nhận tập lệnh bash để sử dụng làm trình tải xuống.
Sau đó, tập lệnh sẽ tải xuống danh sách các filename (được liên kết với các kiến trúc CPU khác nhau), thực thi từng cái một, đồng thời duy trì sự tồn tại trên thiết bị thông qua crontab và tự xóa.
Botnet Moobot lần đầu tiên được phát hiện vào tháng 4/2020 khi nhắm mục tiêu tới nhiều loại bộ định tuyến sợi quang. Tháng 10, một biến thể mới của mạng botnet Moobot được phát hiện nhắm mục tiêu vào các API Docker. Botnet được thiết kế để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) phân tán giống như botnet Mirai ban đầu.
Một trong những điểm khác biệt chính của botnet Moobot là sự hiện diện của một chuỗi mã cứng được sử dụng nhiều lần trong toàn bộ mã.
Theo AT&T, tên miền Cyberium vẫn hoạt động nhưng tại thời điểm phân tích, nó không lưu trữ bất kỳ mẫu mã độc nào, có thể là do các trang miền phụ đang chờ yêu cầu mới cho danh sách máy chủ C&C.
Các nhà nghiên cứu từ AT&T Alien Lab phát hiện biến thể Moobot của botnet Mirai đang rà quét Internet để tìm kiếm lỗ hổng thực thi mã từ xa CVE-2020-10987 trong bộ định tuyến Tenda. Mạng botnet được liên kết với một miền lưu trữ mã độc đã cung cấp biến thể Mirai cho một số mạng botnet khác nhau trong năm vừa qua.
Theo các chuyên gia, lỗ hổng này thường không được nhắm mục tiêu bởi các máy quét web.
“Vào cuối tháng 3, AT&T Alien Labs thấy sự gia tăng đột biến của các nỗ lực khai thác lỗ hổng CVE-2020-10987 trong bộ định tuyến Tenda, ở một lượng lớn khách hàng, trong khoảng vài giờ”.
Quá trình quét lỗ hổng CVE-2020-10987 chỉ kéo dài một ngày và cùng tên miền lưu trữ mã độc đó có liên quan đến các hoạt động nhắm vào các lỗ hổng khác:
• Cổng 80 và 8080: Axis SSI RCE.
• Cổng 34567: Máy quét DVR thử thông tin đăng nhập mặc định cho ứng dụng video chính của Sofia.
• Cổng 37215: Lỗ hổng RCE của bộ định tuyến gia đình Huawei (CVE-2017-17215).
• Cổng 52869: Realtek SDK Miniigd UPnP SOAP Command Execution (CVE-2014-8361).
Tất cả biến thể đều có chung trang lưu trữ mã độc, dns.cyberium[.]cc. Điều tra sâu hơn cho thấy một số chiến dịch ít nhất có từ tháng 5/2020.
Mỗi chiến dịch sử dụng một trang miền phụ khác nhau trong tên miền Cyberium.
“Trong thời gian miền này hoạt động và phân phối mã độc, ít nhất ba biến thể khác nhau của Mirai đã được xác định: Moobot, Satori/Fbot và các mẫu khác không có mối liên hệ với các botnet này. Một trong những điểm đặc biệt của miền này là cách nó kết hợp các biến thể Mirai. Cùng một URL có thể lưu trữ Satori một ngày và Moobot vào tuần sau”.
Sau khi xâm nhập thiết bị IoT, mã độc kết nối với miền Cyberium để nhận tập lệnh bash để sử dụng làm trình tải xuống.
Sau đó, tập lệnh sẽ tải xuống danh sách các filename (được liên kết với các kiến trúc CPU khác nhau), thực thi từng cái một, đồng thời duy trì sự tồn tại trên thiết bị thông qua crontab và tự xóa.
Botnet Moobot lần đầu tiên được phát hiện vào tháng 4/2020 khi nhắm mục tiêu tới nhiều loại bộ định tuyến sợi quang. Tháng 10, một biến thể mới của mạng botnet Moobot được phát hiện nhắm mục tiêu vào các API Docker. Botnet được thiết kế để thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) phân tán giống như botnet Mirai ban đầu.
Một trong những điểm khác biệt chính của botnet Moobot là sự hiện diện của một chuỗi mã cứng được sử dụng nhiều lần trong toàn bộ mã.
Theo AT&T, tên miền Cyberium vẫn hoạt động nhưng tại thời điểm phân tích, nó không lưu trữ bất kỳ mẫu mã độc nào, có thể là do các trang miền phụ đang chờ yêu cầu mới cho danh sách máy chủ C&C.
Theo Security Affairs