WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Botnet Gitpaste-12 nhắm mục tiêu vào máy chủ Linux và thiết bị IoT
Mạng botnet lây lan qua GitHub và Pastebin để cài đặt các công cụ khai thác tiền điện tử và backdoor trên các hệ thống mục tiêu đã xuất hiện trở lại. Lần này, botnet có khả năng lớn hơn để xâm nhập các ứng dụng web, camera IP và bộ định tuyến.
Đầu tháng trước, các nhà nghiên cứu từ Juniper Threat Labs ghi nhận một chiến dịch khai thác tiền điện tử có tên “Gitpaste-12”, sử dụng GitHub để lưu trữ mã độc có chứa tới 12 mô-đun tấn công được thực thi thông qua các lệnh được tải xuống từ URL Pastebin.
Các cuộc tấn công xảy ra trong 12 ngày bắt đầu từ 15/10/2020, trước khi cả URL Pastebin và kho lưu trữ bị đóng vào ngày 30/10.
Giờ theo Juniper, làn sóng tấn công thứ hai bắt đầu vào ngày 10/11 bằng cách sử dụng payload từ một kho lưu trữ GitHub khác, có chứa một công cụ khai thác tiền điện tử Linux (“ls”), một tệp có danh sách mật khẩu cho tấn công brute-force (“pass”) và mã khai thác leo thang đặc quyền cục bộ cho các hệ thống Linux x86_64.
Lây nhiễm ban đầu xảy ra thông qua X10-unix, một bản nhị phân được viết bằng ngôn ngữ lập trình Go, có nhiệm vụ tải xuống các payload cho giai đoạn tiếp theo từ GitHub.
"Worm này thực hiện một loạt các cuộc tấn công nhắm vào các ứng dụng web, camera IP, bộ định tuyến và hơn thế nữa, bao gồm ít nhất 31 lỗ hổng đã biết - bảy trong số đó cũng đã được thấy trong mẫu Gitpaste-12 trước đó - cũng như các nỗ lực xâm nhập Kết nối Android Debug Bridge và các backdoor phần mềm độc hại hiện có”, nhà nghiên cứu Asher Langton của Juniper lưu ý.
Trong danh sách 31 lỗ hổng bao gồm các lỗ hổng mã từ xa trong Giao diện người dùng quản lý lưu lượng F5 BIG-IP (CVE-2020-5902), Web Pi-hole (CVE-2020-8816), Tenda AC15 AC1900 (CVE-2020-10987), vBulletin (CVE-2020-17496) và một lỗi SQL injection trong FUEL CMS (CVE-2020-17463), tất cả đều được tiết lộ trong năm nay.
Điều đáng chú ý là Ttint, một biến thể mới của mạng botnet Mirai, được quan sát vào tháng 10 khi sử dụng hai lỗ hổng zero-day của bộ định tuyến Tenda, bao gồm CVE-2020-10987, để phát tán Trojan Truy cập Từ xa (RAT) có khả năng thực hiện tấn công từ chối dịch vụ, thực thi các lệnh độc hại và triển khai một shell đảo ngược để truy cập từ xa.
Bên cạnh việc cài đặt X10-unix và phần mềm khai thác tiền điện tử Monero trên máy, phần mềm độc hại còn mở một backdoor để nghe trên các cổng 30004 và 30006, tải địa chỉ IP bên ngoài của nạn nhân lên một paste Pastebin riêng tư và cố gắng kết nối với các kết nối Android Debug Bridge trên cổng 5555.
Khi kết nối thành công, nó sẽ tiến hành tải xuống tệp APK Android ("weixin.apk") để cài đặt phiên bản CPU ARM của X10-unix.
Theo ước tính của Juniper, ít nhất 100 máy chủ khác nhau đã được phát hiện bị lây nhiễm.
Đầu tháng trước, các nhà nghiên cứu từ Juniper Threat Labs ghi nhận một chiến dịch khai thác tiền điện tử có tên “Gitpaste-12”, sử dụng GitHub để lưu trữ mã độc có chứa tới 12 mô-đun tấn công được thực thi thông qua các lệnh được tải xuống từ URL Pastebin.
Các cuộc tấn công xảy ra trong 12 ngày bắt đầu từ 15/10/2020, trước khi cả URL Pastebin và kho lưu trữ bị đóng vào ngày 30/10.
Giờ theo Juniper, làn sóng tấn công thứ hai bắt đầu vào ngày 10/11 bằng cách sử dụng payload từ một kho lưu trữ GitHub khác, có chứa một công cụ khai thác tiền điện tử Linux (“ls”), một tệp có danh sách mật khẩu cho tấn công brute-force (“pass”) và mã khai thác leo thang đặc quyền cục bộ cho các hệ thống Linux x86_64.
Lây nhiễm ban đầu xảy ra thông qua X10-unix, một bản nhị phân được viết bằng ngôn ngữ lập trình Go, có nhiệm vụ tải xuống các payload cho giai đoạn tiếp theo từ GitHub.
"Worm này thực hiện một loạt các cuộc tấn công nhắm vào các ứng dụng web, camera IP, bộ định tuyến và hơn thế nữa, bao gồm ít nhất 31 lỗ hổng đã biết - bảy trong số đó cũng đã được thấy trong mẫu Gitpaste-12 trước đó - cũng như các nỗ lực xâm nhập Kết nối Android Debug Bridge và các backdoor phần mềm độc hại hiện có”, nhà nghiên cứu Asher Langton của Juniper lưu ý.
Trong danh sách 31 lỗ hổng bao gồm các lỗ hổng mã từ xa trong Giao diện người dùng quản lý lưu lượng F5 BIG-IP (CVE-2020-5902), Web Pi-hole (CVE-2020-8816), Tenda AC15 AC1900 (CVE-2020-10987), vBulletin (CVE-2020-17496) và một lỗi SQL injection trong FUEL CMS (CVE-2020-17463), tất cả đều được tiết lộ trong năm nay.
Điều đáng chú ý là Ttint, một biến thể mới của mạng botnet Mirai, được quan sát vào tháng 10 khi sử dụng hai lỗ hổng zero-day của bộ định tuyến Tenda, bao gồm CVE-2020-10987, để phát tán Trojan Truy cập Từ xa (RAT) có khả năng thực hiện tấn công từ chối dịch vụ, thực thi các lệnh độc hại và triển khai một shell đảo ngược để truy cập từ xa.
Bên cạnh việc cài đặt X10-unix và phần mềm khai thác tiền điện tử Monero trên máy, phần mềm độc hại còn mở một backdoor để nghe trên các cổng 30004 và 30006, tải địa chỉ IP bên ngoài của nạn nhân lên một paste Pastebin riêng tư và cố gắng kết nối với các kết nối Android Debug Bridge trên cổng 5555.
Khi kết nối thành công, nó sẽ tiến hành tải xuống tệp APK Android ("weixin.apk") để cài đặt phiên bản CPU ARM của X10-unix.
Theo ước tính của Juniper, ít nhất 100 máy chủ khác nhau đã được phát hiện bị lây nhiễm.
Theo The Hacker News