Một chiến dịch phần mềm độc hại đang hoạt động đang tận dụng hai lỗ hổng zero-day với chức năng thực thi mã từ xa (RCE) để kết nối các bộ định tuyến và máy ghi video vào mạng botnet từ chối dịch vụ phân tán (DDoS) dựa trên Mirai.
"Tải trọng nhắm vào các bộ định tuyến và thiết bị ghi video mạng (NVR) có thông tin đăng nhập quản trị mặc định và cài đặt các biến thể Mirai khi thành công", Akamai cho biết trong một tư vấn được công bố trong tuần này.
Chi tiết về các lỗ hổng hiện đang được giữ kín để cho phép hai nhà cung cấp xuất bản các bản vá lỗi và ngăn chặn các tác nhân đe dọa khác lạm dụng chúng. Các bản sửa lỗi cho một trong những lỗ hổng dự kiến sẽ được xuất xưởng vào tháng tới.
Các cuộc tấn công lần đầu tiên được phát hiện bởi công ty bảo mật và cơ sở hạ tầng web chống lại mật ong của mình vào cuối tháng 10/2023. Thủ phạm của các vụ tấn công vẫn chưa được xác định.
Mạng botnet, có tên mã là InfectedSlurs do sử dụng ngôn ngữ chủng tộc và xúc phạm trong các máy chủ chỉ huy và kiểm soát (C2) và các chuỗi được mã hóa cứng, là một biến thể phần mềm độc hại JenX Mirai được đưa ra ánh sáng vào tháng 1 năm 2018.
Akamai cho biết họ cũng xác định được các mẫu phần mềm độc hại bổ sung dường như có liên quan đến biến thể Mirai mưa đá, biến thể thứ hai xuất hiện vào tháng 9/2023, theo một phân tích gần đây từ NSFOCUS.
"HailBot được phát triển dựa trên mã nguồn Mirai và tên của nó có nguồn gốc từ đầu ra thông tin chuỗi 'hail china mainland' sau khi chạy", công ty an ninh mạng có trụ sở tại Bắc Kinh lưu ý, nêu chi tiết khả năng lan truyền thông qua khai thác lỗ hổng và mật khẩu yếu.
Sự phát triển này diễn ra khi Akamai trình bày chi tiết một web shell được gọi là wso-ng, một "phiên bản nâng cao" của WSO (viết tắt của "web shell by oRb") tích hợp với các công cụ hợp pháp như VirusTotal và SecurityTrails trong khi lén lút che giấu giao diện đăng nhập của nó đằng sau trang lỗi 404 khi cố gắng truy cập nó.
Một trong những khả năng trinh sát đáng chú ý của web shell liên quan đến việc truy xuất siêu dữ liệu AWS cho chuyển động bên tiếp theo cũng như tìm kiếm các kết nối cơ sở dữ liệu Redis tiềm năng để có quyền truy cập trái phép vào dữ liệu ứng dụng nhạy cảm.
"Web shell cho phép kẻ tấn công chạy lệnh trên máy chủ để đánh cắp dữ liệu hoặc sử dụng máy chủ làm bệ phóng cho các hoạt động khác như đánh cắp thông tin xác thực, di chuyển ngang, triển khai tải trọng bổ sung hoặc hoạt động thực hành trên bàn phím, đồng thời cho phép kẻ tấn công tồn tại trong một tổ chức bị ảnh hưởng", Microsoft cho biết vào năm 2021.
Việc sử dụng vỏ web sẵn có cũng được coi là một nỗ lực của các tác nhân đe dọa để thách thức các nỗ lực quy kết và bay dưới radar, một dấu hiệu quan trọng của các nhóm gián điệp mạng chuyên thu thập thông tin tình báo.
Một chiến thuật phổ biến khác được những kẻ tấn công áp dụng là sử dụng các tên miền bị xâm nhập nhưng hợp pháp cho mục đích C2 và phân phối phần mềm độc hại.
Vào tháng 8 năm 2023, Infoblox đã tiết lộ một cuộc tấn công trên diện rộng liên quan đến các trang web WordPress bị xâm nhập có điều kiện chuyển hướng khách truy cập đến các tên miền trung gian C2 và thuật toán tạo miền từ điển (DDGA). Hoạt động này được cho là do một tác nhân đe dọa có tên VexTrio.
Dịch Vụ Cho Thuê DDoS : Tại Đây