Cảnh báo: Việt Nam nằm trong tầm ngắm của mã độc RustoBot

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
95
757 bài viết
Cảnh báo: Việt Nam nằm trong tầm ngắm của mã độc RustoBot
WhiteHat Team
Mã độc RustoBot đang khai thác lỗ hổng trên router TOTOLINK và DrayTek tại Việt Nam, Nhật Bản, Đài Loan, Mexico để tấn công DDoS và chiếm quyền điều khiển.

1745304897279.png

Mã độc nguy hiểm mới tấn công router TOTOLINK và DrayTek tại Việt Nam​

FortiGuard Labs vừa công bố phát hiện chiến dịch tấn công mạng quy mô lớn sử dụng botnet RustoBot, một loại mã độc mới được viết bằng ngôn ngữ Rust – nổi tiếng với tính an toàn bộ nhớ và hiệu suất cao. RustoBot hiện đang khai thác lỗ hổng bảo mật trên các thiết bị router TOTOLINK và DrayTek, ảnh hưởng đến hệ thống mạng tại Việt Nam, Nhật Bản, Đài Loan và Mexico.

Các lỗ hổng nghiêm trọng bị khai thác

RustoBot tấn công vào các lỗ hổng đã tồn tại từ lâu trên router, bao gồm:
  • CVE-2022-26210 (qua chức năng setUpgradeFW của TOTOLINK)
  • CVE-2022-26187 (qua chức năng pingCheck của TOTOLINK)
  • CVE-2024-12987 (trên thiết bị DrayTek qua đường dẫn /cgi-bin/mainfunction.cgi/apmcfgupload)
Những lỗ hổng này cho phép thực thi mã từ xa, tạo điều kiện để mã độc RustoBot được tải xuống thiết bị qua các công cụ như wget hoặc tftp.

Cách thức hoạt động của mã độc RustoBot​

RustoBot hỗ trợ nhiều kiến trúc thiết bị phổ biến như arm5, arm6, arm7, mips, mpsl và x86, với tải trọng nhắm chủ yếu vào các thiết bị TOTOLINK dùng kiến trúc mpsl.

Điểm nổi bật của RustoBot là khả năng ẩn mã độc thông qua mã hóa XOR và thao tác trên Global Offset Table (GOT), khiến việc phân tích đảo ngược trở nên rất khó khăn.

Khi đã xâm nhập thành công, RustoBot thực hiện 2 hành vi chính:
  • Liên lạc với máy chủ điều khiển (C2) thông qua DNS-over-HTTPS (DoH)
  • Thực hiện các cuộc tấn công từ chối dịch vụ (DDoS) theo lệnh với các giao thức: Raw IP, TCP và UDP
Cấu hình sau giải mã cho thấy mã độc sử dụng các tên miền như dvrhelper.anondns.net trỏ về địa chỉ IP điều khiển 5.255.125.150 để nhận lệnh tấn công.

Các thiết bị router bị ảnh hưởng​

Danh sách các thiết bị được xác định dễ bị tấn công:
  • TOTOLINK: N600R, A830R, A3100R, A950RG, A800R, A3000RU, A810R
  • DrayTek: Vigor2960, Vigor300B

Khuyến cáo​

Trước diễn biến phức tạp của các chiến dịch tấn công nhắm vào thiết bị mạng, đặc biệt là sự xuất hiện của mã độc RustoBot, các tổ chức cần tăng cường biện pháp bảo vệ hệ thống hạ tầng mạng. WhiteHat khuyến nghị:
  • Khẩn trương vá các lỗ hổng đã biết trên thiết bị mạng, đặc biệt là các lỗ hổng có mã định danh CVE đã được công bố và có bản vá từ nhà sản xuất.
  • Kiểm tra toàn bộ thiết bị đang kết nối Internet, rà soát các thiết bị có thể bị lộ hoặc đang sử dụng firmware lỗi thời, chưa được cập nhật đúng cách.
  • Giám sát lưu lượng outbound một cách chặt chẽ, tập trung vào: Các kết nối sử dụng DNS-over-HTTPS (DoH) hoặc các hành vi cập nhật firmware bất thường không nằm trong quy trình được phê duyệt, có thể là dấu hiệu của việc cài cắm mã độc hoặc chiếm quyền thiết bị.
Việc kết hợp các biện pháp kỹ thuật với quy trình kiểm soát thay đổi rõ ràng sẽ giúp giảm thiểu nguy cơ bị khai thác, đồng thời nâng cao khả năng phát hiện sớm các cuộc tấn công mạng hiện đại.

Theo Security Online
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo nguy cơ từ chiến dịch ransomware Medusa và driver độc hại ABYSSWORKER
  • Dự báo: 5 mã độc nguy hiểm cần cảnh giác trong năm 2025
  • Cảnh báo lừa đảo phát tán mã độc chiếm quyền điều khiển trên Android tại Việt Nam
  • Cảnh báo: Máy chủ cập nhật phần mềm ASUS bị hack để phát tán mã độc
  • Cảnh báo tấn công Phishing lấy cắp password Apple ID
  • 8 dấu hiệu cảnh báo cho thấy máy tính đã bị can thiệp
    • Thẻ
    botnet rustobot cve-2022-26187 cve-2022-26210 cve-2024-12987 draytek fortiguard labs mã độc rustobot rustobot totolink
    Bên trên