Được biết, AX1800 là bộ định tuyến Wifi 6 băng tần kép (2,4 GHz + 5 GHz) dựa trên Linux phổ biến với băng thông 1,8Gbps, được sử dụng chủ yếu bởi người dùng gia đình, văn phòng nhỏ, cửa hàng, quán cà phê,…
Fortinet FortiGuard Labs cho biết chiến dịch này đã được đẩy mạnh kể từ cuối tháng 5/2023. Condi là mã độc được phát triển bởi một nhóm tin tặc có tên là “zxcr9999” trên Telegram, bên cạnh đó nhóm này còn điều hành một kênh Telegram có tên “Condi Network” để quảng cáo cho sản phẩm của chúng.
Các nhà nghiên cứu bảo mật Joie Salvio và Roy Tay cho biết: “Kênh Telegram của zxcr9999 đã được bắt đầu vào tháng 5/2022 và chúng đã kiếm tiền từ mạng botnet của mình bằng cách cung cấp DDoS dưới dạng dịch vụ và bán mã nguồn phần mềm độc hại”.
Một báo cáo mới của Fortinet được công bố ngày 20/6 giải thích rằng Condi nhắm mục tiêu đến lỗ hổng CVE-2023-1389 (điểm CVSS: 8,8), một lỗ hổng thực thi mã từ xa chưa được xác thực có mức độ nghiêm trọng cao trong API của giao diện quản lý web của bộ định tuyến.
Mã nguồn của Condi và dịch vụ DDoS được bán trên Telegram
Các chuyên gia của ZDI đã phát hiện ra lỗ hổng và báo cáo cho nhà cung cấp thiết bị mạng vào tháng 1/2023, TP-Link đã phát hành bản cập nhật bảo mật vào tháng 3/2023 với phiên bản 1.1.4 Build 20230219.
Condi là botnet DDoS thứ hai nhắm vào lỗ hổng này sau Mirai trước đó đã khai thác nó vào cuối tháng 4/2023. Để đối phó với các cuộc tấn công chồng chéo trên cùng một máy host, Condi có một cơ chế cố gắng tiêu diệt các botnet của các đối thủ cạnh tranh, đồng thời, nó cũng dừng các phiên bản cũ hơn của chính nó. Tuy nhiên, nó thiếu một cơ chế bền bỉ, có nghĩa là chương trình không thể tồn tại khi khởi động lại hệ thống. Để khắc phục hạn chế này, mã độc sẽ xóa nhiều tệp nhị phân được sử dụng để tắt hoặc khởi động lại hệ thống:
Condi không giống như một số botnet khác lan truyền bằng các phương thức tấn công vét cạn, nó tận dụng mô-đun máy quét để kiểm tra các thiết bị TP-Link Archer AX21 dễ bị tấn công và nếu có, nó sẽ thực thi tập lệnh shell được truy xuất từ máy chủ từ xa để ký gửi mã độc. Cụ thể, máy quét sẽ chọn ra các bộ định tuyến dễ bị nhiễm CVE-2023-1389, một lỗ hổng chèn lệnh đã bị botnet Mirai khai thác trước đó.
Khai thác lỗ hổng CVE-2023-1389
Fortinet cho biết mặc dù các mẫu mà họ phân tích chứa máy quét tìm CVE-2023-1389, nhưng họ cũng đã quan sát thấy các mẫu khác của Condi sử dụng các lỗ hổng khác nhau để lan truyền, cho thấy phần mềm chưa được vá có nguy cơ bị mã độc botnet nhắm mục tiêu. Ngoài ra, các nhà phân tích đã tìm thấy các mẫu sử dụng tập lệnh shell với nguồn Android Debug Bridge (ADB), có khả năng chỉ ra rằng botnet được lan truyền qua các thiết bị có cổng ADB mở (TCP/5555).
Condi đặt mục tiêu gài bẫy các thiết bị để tạo ra một mạng botnet DDoS mạnh mẽ mà các tin tặc khác có thể thuê để dàn dựng các cuộc tấn công TCP và UDP flood các trang web và dịch vụ.
Chủ sở hữu bộ định tuyến Wifi TP-Link Archer AX21 có thể cập nhật chương trình cơ sở mới nhất cho phiên bản phần cứng của thiết bị từ trung tâm tải xuống của TP-Link. Các dấu hiệu của bộ định tuyến TP-Link bị nhiễm bao gồm thiết bị quá nóng, gián đoạn mạng, thay đổi không thể giải thích được trong cài đặt mạng của thiết bị và đặt lại mật khẩu người dùng quản trị.
Lê Thị Bích Hằng
(Học viện Kỹ thuật mật mã)
14:00 | 21/06/2023
15:00 | 25/07/2023
09:00 | 08/06/2023
14:00 | 22/02/2024
14:00 | 17/10/2022
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
14:00 | 29/11/2023
Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.
14:00 | 23/11/2023
Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024