Hàng triệu bộ định tuyến, thiết bị IoT gặp rủi ro khi có bề mặt mã nguồn phần mềm độc hại trên GitHub
Kết nối với chúng tôi

Tìm kiếm theo chiều dọc Plato

An ninh mạng

Hàng triệu bộ định tuyến, thiết bị IoT có nguy cơ là bề mặt mã nguồn phần mềm độc hại trên GitHub

“BotenaGo” chứa các hoạt động khai thác hơn 30 lỗ hổng trong nhiều sản phẩm của nhà cung cấp và đang được sử dụng để phát tán phần mềm độc hại botnet Mirai, nhà cung cấp bảo mật cho biết.

Hàng triệu bộ định tuyến, thiết bị IoT có nguy cơ là bề mặt mã nguồn phần mềm độc hại trên GitHub

Các tác giả của một mẫu phần mềm độc hại nguy hiểm nhắm mục tiêu hàng triệu bộ định tuyến và thiết bị Internet of Things (IoT) đã tải mã nguồn của nó lên GitHub, có nghĩa là những tên tội phạm khác giờ đây có thể nhanh chóng tạo ra các biến thể mới của công cụ hoặc sử dụng nó trong cuộc tấn công của riêng chúng các chiến dịch.

Các nhà nghiên cứu tại AT&T Alien Labs lần đầu tiên phát hiện ra phần mềm độc hại này vào tháng 30 năm ngoái và đặt tên cho nó là “BotenaGo”. Phần mềm độc hại được viết bằng Go - một ngôn ngữ lập trình đã trở nên khá phổ biến trong giới tác giả phần mềm độc hại. Nó đi kèm với các vụ khai thác hơn XNUMX lỗ hổng khác nhau trong các sản phẩm từ nhiều nhà cung cấp, bao gồm Linksys, D-Link, Netgear và ZTE.

BotenaGo được thiết kế để thực thi các lệnh shell từ xa trên các hệ thống mà nó đã khai thác thành công lỗ hổng. Một phân tích mà Alien Labs đã tiến hành vào năm ngoái khi lần đầu tiên phát hiện phần mềm độc hại cho thấy BotenaGo sử dụng hai phương pháp khác nhau để nhận lệnh nhắm mục tiêu nạn nhân. Một trong số chúng liên quan đến hai cổng backdoor để nghe và nhận địa chỉ IP của các thiết bị mục tiêu, và cổng kia liên quan đến việc thiết lập một bộ lắng nghe đối với đầu vào của người dùng I / O của hệ thống và nhận thông tin mục tiêu thông qua nó.

Các nhà nghiên cứu tại Alien Labs đã phát hiện ra rằng mặc dù phần mềm độc hại được thiết kế để nhận lệnh từ một máy chủ từ xa, nhưng nó không có bất kỳ giao tiếp lệnh và điều khiển hoạt động nào. Điều này khiến nhà cung cấp bảo mật vào thời điểm đó phỏng đoán rằng BotenaGo là một phần của bộ phần mềm độc hại rộng hơn và có khả năng là một trong nhiều công cụ trong một chuỗi lây nhiễm. Nhà cung cấp bảo mật cũng nhận thấy rằng các liên kết tải trọng của BotenaGo tương tự với các liên kết được sử dụng bởi những người điều hành phần mềm độc hại mạng botnet Mirai khét tiếng. Điều này khiến Alien Labs đưa ra giả thuyết rằng BotenaGo là một công cụ mới mà những người điều hành Mirai đang sử dụng để nhắm mục tiêu các máy cụ thể mà họ biết đến.

Lượt truy cập thiết bị và bộ định tuyến IoT
Vì những lý do không rõ ràng, tác giả không rõ của phần mềm độc hại gần đây đã công khai mã nguồn của BotenaGo thông qua GitHub. Động thái này có thể dẫn đến sự gia tăng đáng kể các biến thể BotenaGo khi các tác giả phần mềm độc hại khác sử dụng và điều chỉnh mã nguồn cho các mục đích cụ thể và các chiến dịch tấn công của họ, Alien Labs cho biết trong một Blog của chúng tôi. tuần này. Công ty cho biết họ đã quan sát thấy các mẫu bề mặt BotenaGo mới và được sử dụng để phát tán phần mềm độc hại botnet Mirai trên các thiết bị IoT và bộ định tuyến. Một trong những máy chủ tải trọng của BotenaGo cũng nằm trong danh sách chỉ báo khả năng xâm phạm các lỗ hổng Log4j được phát hiện gần đây.

Phần mềm độc hại BotenaGo chỉ bao gồm 2,891 dòng mã, khiến nó trở thành điểm khởi đầu tiềm năng tốt cho một số biến thể mới. Thực tế là nó đi kèm với việc khai thác hơn 30 lỗ hổng trong nhiều bộ định tuyến và thiết bị IoT là một yếu tố khác mà các tác giả phần mềm độc hại có khả năng xem xét hấp dẫn. Nhiều lỗ hổng mà BotenaGo có thể khai thác bao gồm CVE-2015-2051 trong một số bộ định tuyến không dây D-Link, CVE-2016-1555 ảnh hưởng đến các sản phẩm của Netgear, CVE-2013-3307 trên thiết bị Linksys và CVE-2014-2321 ảnh hưởng đến một số cáp ZTE mô hình modem.

“Alien Labs hy vọng sẽ thấy các chiến dịch mới dựa trên các biến thể của BotenaGo nhắm mục tiêu các bộ định tuyến và thiết bị IoT trên toàn cầu”, nhà nghiên cứu phần mềm độc hại của Alien Labs, Ofer Caspi, cho biết trong bài đăng trên blog đã đề cập trước đó. “Kể từ khi xuất bản bài viết này, khả năng phát hiện nhà cung cấp phần mềm chống vi-rút (AV) cho BotenaGo và các biến thể của nó vẫn bị bỏ lại với phạm vi phát hiện rất thấp từ hầu hết các nhà cung cấp AV.”

Theo Alien Labs, chỉ 60 trong số XNUMX AV trên VirusTotal hiện có khả năng phát hiện phần mềm độc hại.

Công ty đã so sánh động thái này với động thái mà các tác giả của Mirai đã thực hiện vào năm 2016, khi họ tải mã nguồn của phần mềm độc hại lên một diễn đàn cộng đồng hack. Việc phát hành mã dẫn đến sự phát triển của nhiều biến thể Mirai, chẳng hạn như ngộ, Moobot và Masuta, đã gây ra hàng triệu vụ lây nhiễm thiết bị IoT. Việc phát hành mã Mirai dẫn đến các biến thể với chức năng độc đáo, khả năng mới và khai thác mới.

Được Viết Bởi

Luồng liên quan

IOT

Không phải tất cả các bậc cha mẹ đều được trang bị để giúp con cái của họ trong mọi môn học hoặc có thể đủ khả năng dạy kèm riêng. Photomath có vẻ như là một ứng dụng tuyệt vời ...

IOT

Không phải tất cả các bậc cha mẹ đều được trang bị để giúp con cái của họ trong mọi môn học hoặc có thể đủ khả năng dạy kèm riêng. Photomath có vẻ như là một ứng dụng tuyệt vời ...

IOT

Không phải tất cả các bậc cha mẹ đều được trang bị để giúp con cái của họ trong mọi môn học hoặc có thể đủ khả năng dạy kèm riêng. Photomath có vẻ như là một ứng dụng tuyệt vời ...

IOT

Không phải tất cả các bậc cha mẹ đều được trang bị để giúp con cái của họ trong mọi môn học hoặc có thể đủ khả năng dạy kèm riêng. Photomath có vẻ như là một ứng dụng tuyệt vời ...