Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
Nhà nghiên cứu Vincent Li của Fortinet FortiGuard Labs chia sẻ: “Những botnet này thường xuyên lây lan thông qua các lỗ hổng bảo mật D-Link cho phép những kẻ tấn công từ xa thực thi các câu lệnh trái phép với mục đích phá hoại thông qua GetDeviceSettings trên giao diện interface HNAP (Home Network Administration Protocol)”.
“Yếu điểm của HNAP lần đầu được công bố cách đây gần một thập kỷ, với nhiều thiết bị bị ảnh hưởng bởi nhiều CVE khác nhau, bao gồm CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 và CVE-2024-33112”.
Theo dữ liệu của các công ty an ninh mạng, những cuộc tấn công liên quan đến FICORA đã nhắm tới nhiều quốc gia khác nhau trên toàn cầu, trong khi các cuộc tấn công liên quan đến CAPSAICIN chủ yếu tập trung ở các quốc gia phía Đông châu Á như Nhật Bản và Đài Loan. Cuộc tấn công CAPSAICIN được cho là chỉ hoạt động “mạnh mẽ” trong khoảng 21-22/10/2024.
Các cuộc tấn công botnet FICORA dẫn đến việc triển khai một downloader shell script (“multi”) từ một máy chủ từ xa (“103.149.87[.]69”), sau đó tiến hành tải xuống payload cho các kiến trúc Linux khác nhau một cách riêng biệt bằng các lệnh wget, ftpget, curl và tftp.
Có sẵn trong phần mềm độc hại được cài đặt trên botnet là một chức năng tấn công brute-force chứa một danh sách những tài khoản và mật khẩu người dùng. Phần mềm độc hại Mirai cũng tích hợp các tính năng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) bằng giao thức UDP, TCP và DNS.
Tập tin script (“bins[.]sh”) cho CAPSAICIN sử dụng một địa chỉ IP khác (“87[.]10[.]220[.]221”) và áp dụng cùng một phương pháp để tìm kiếm botnet cho nhiều kiến trúc Linux khác nhau nhằm đảm bảo khả năng tương thích tối đa.
Li chia sẻ: “Phần mềm độc hại sẽ tiêu diệt các tiến trình botnet đã biết để đảm bảo rằng nó là botnet duy nhất chạy trên máy nạn nhân. CAPSAICIN thiết lập một kết nối socket với máy chủ C2 của nó, '192[.]110[.]247[.]46' và gửi đi thông tin về hệ điều hành của máy nạn nhân, nickname do phần mềm độc hại cung cấp trở về máy chủ điều khiển và ra lệnh (C2)".
CAPSAICIN sau đó chờ các lệnh tiếp theo được thực thi trên các thiết bị bị xâm phạm, “PRIVMSG” là một lệnh có thể được sử dụng để thực hiện nhiều hành động phá hoại khác nhau chẳng hạn như sau:
Li cho biết: “Mặc dù các yếu điểm bị khai thác trong cuộc tấn công này đã được công bố và vá lỗi gần một thập kỷ trước, nhưng các cuộc tấn công này vẫn liên tục diễn ra trên toàn thế giới. Điều quan trọng là mọi doanh nghiệp phải thường xuyên cập nhật kernel của thiết bị và duy trì giám sát toàn diện”.
Lê Thị Bích Hằng
(Theo The Hacker News)
14:00 | 28/05/2024
09:00 | 08/01/2025
09:00 | 01/02/2025
09:00 | 30/05/2024
14:00 | 14/01/2025
09:00 | 15/10/2019
14:00 | 24/01/2025
08:00 | 07/02/2025
Cracked và Nulled, hai trong số các diễn đàn tấn công mạng lớn nhất thế giới với hơn 10 triệu người dùng vừa bị các nhà chức trách đánh sập.
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
Lừa đảo mạo danh tiếp tục là điểm nóng trên không gian mạng. Cục An toàn thông tin (Bộ TT&TT) vừa khuyến cáo các đơn vị, cá nhân trong nước cảnh giác trước chiêu giả mạo Trung tâm An ninh mạng quốc gia, Cục Hải quan, Shopee.
09:00 | 10/02/2025