“Mạng botnet Dark Frost được mô phỏng theo Gafgyt, QBot, Mirai và các dòng phần mềm độc hại khác, đã mở rộng chiến dịch tấn công với hàng trăm thiết bị bị xâm nhập”, nhà nghiên cứu bảo mật Allen West của Akamai cho biết trong một bản phân tích kỹ thuật mới được chia sẻ.
Các mục tiêu bao gồm các công ty trò chơi, nhà cung cấp dịch vụ lưu trữ máy chủ trò chơi, người phát trực tuyến và thậm chí cả các thành viên cộng đồng trò chơi khác mà các tin tặc đã tương tác trực tiếp. Tính đến tháng 02/2023, mạng botnet này bao gồm 414 máy chạy các kiến trúc tập lệnh khác nhau như ARMv4, x86, MIPSEL, MIPS và ARM7.
Botnet thường được tạo thành từ một mạng lưới rộng lớn các thiết bị bị xâm nhập trên khắp thế giới. Các tin tặc có xu hướng sử dụng các máy chủ chiếm dụng được để khai thác tiền điện tử, đánh cắp dữ liệu nhạy cảm hoặc khai thác băng thông Internet chung từ các bot này để đánh sập các trang web và máy chủ Internet khác, bằng cách làm tràn ngập các mục tiêu với lưu lượng truy cập rác.
Dark Frost đại diện cho phiên bản mới nhất của một mạng botnet dường như đã được kết hợp với nhau bằng cách đánh cắp mã nguồn từ các chủng phần mềm độc hại botnet khác nhau như Mirai, Gafgyt và QBot. Theo chia sẻ từ Akamai, nhà phát triển của Dark Frost được cho là đã hoạt động ít nhất từ tháng 5/2022.
Akamai đã tiến hành phân tích mẫu botnet và sau khi gắn cờ vào ngày 28/02/2023, đã xác định khả năng tấn công của nó ở mức xấp xỉ 629,28 Gbps thông qua một cuộc tấn công UDP Flood. Đây là một trong những loại tấn công DDoS phổ biến nhất, trong đó một số lượng lớn các gói UDP được gửi đến máy chủ được mục tiêu với mục đích lấn át khả năng xử lý và phản hồi của thiết bị đó. Tường lửa bảo vệ máy chủ được nhắm mục tiêu cũng có thể trở nên cạn kiệt do tràn ngập UDP, dẫn đến việc từ chối dịch vụ đối với lưu lượng truy cập hợp pháp.
“Điều khiến Dark Frost trở nên đặc biệt là kẻ đứng sau các cuộc tấn công này đã công bố các bản ghi trực tiếp các cuộc tấn công của họ cho tất cả mọi người cùng xem”, Akamai cho biết. Ngoài ra, Dark Frost đã thiết lập thêm một kênh Discord để tạo điều kiện cho các cuộc tấn công đổi lấy tiền, cho thấy động cơ tài chính của chúng và kế hoạch biến nó thành một dịch vụ cho thuê DDoS.
Sự xuất hiện của Dark Frost trở thành một ví dụ điển hình về việc các tin tặc mới làm quen với kỹ năng mã hóa cơ bản có thể dễ dàng hành động tấn công như thế nào bằng cách sử dụng phần mềm độc hại đã có sẵn để gây thiệt hại đáng kể cho doanh nghiệp. West cho biết: “Phạm vi tiếp cận mà những kẻ tấn công này có thể đáng kinh ngạc mặc dù thiếu sự mới lạ trong kỹ thuật của chúng. Điều đáng chú ý là botnet Dark Frost vẫn có thể tích lũy hàng trăm thiết bị bị xâm nhập để thực hiện chiến dịch tấn công của mình”.
Quốc Trung
(The Hacker News)
12:00 | 16/03/2023
13:00 | 11/07/2023
14:00 | 17/10/2022
15:00 | 25/07/2023
09:00 | 13/02/2024
09:00 | 22/04/2022
08:00 | 12/01/2024
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
14:00 | 29/11/2023
Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024