Hajime Botnet กลับมาอีกครั้ง พุ่งเป้า MikroTik Routers

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Netlab ของ Qihoo 360 ออกมาแจ้งเตือนถึง Hajime IoT Botnet สายพันธุ์ใหม่ ที่เริ่มแพร่ระบาดอย่างหนักตั้งแต่วันที่ 25 มีนาคมที่ผ่านมา โดยพุ่งเป้าเปลี่ยน MikroTik Routers เป็นกองทัพ Botnet แนะผู้ใช้ Router ยี่ห้อดังกล่าวอัปเดตแพตช์ล่าสุดโดยเร็ว

นักวิจัยจาก Netlab เริ่มค้นพบการแพร่ระบาดเมื่อวันอาทิตย์ที่ 25 มีนาคมที่ผ่านมา ระบุว่าค้นพบการสแกนแปลกๆ บนพอร์ต 8291 ของ Honeypot ที่ตนเองตั้งไว้ ซึ่งการสแกนดังกล่าวดำเนินการต่อเนื่องไม่หยุด และขยายวงกว้างขึ้นเรื่อยๆ ส่งผลให้ดึงดูดความสนใจของนักวิจัยด้านความมั่นคงปลอดภัยทั่วโลกเป็นอย่างมาก โดย Netlab ตรวจสอบพบว่า Hajime Botnet ได้ดำเนินการสแกนมากถึง 860,000 ครั้งในช่วงเวลาเพียง 3 วันหลังเริ่มแพร่ระบาด อย่างไรก็ตาม ยังไม่ทราบตัวเลขแน่ชัดว่ามี MikroTik Router ติดมัลแวร์ไปแล้วเท่าไหร่

จากการตรวจสอบพบว่า Hajime Botnet สายพันธุ์ใหม่นี้ใช้การเจาะระบบผ่านช่องโหว่ “Chimay Red” ซึ่งส่งผลกระทบบน MikroTik RouterOS เฟิร์มแวร์เวอร์ชัน 6.38.4 และก่อนหน้านั้น เป็นช่องโหว่ที่ช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมและเข้าควบคุมอุปกรณ์จากระยะไกลได้ อย่างไรก็ตาม ทาง MikroTik ก็ได้ออกแพตช์อุดช่องโหว่ดังกล่าวในเวอร์ชัน 6.38.5 เมื่อปีที่ผ่านมา

เมื่อทราบถึงการแพร่ระบาดของ Hajime Botnet ทาง MikroTik ก็ไม่ได้นิ่งนอนใจ ทวีตแนะนำให้ผู้ใช้ตั้งค่า Firewall สำหรับกรองทราฟฟิกที่วิ่งเข้ามายังพอร์ต 80/8291 (Web/Winbox) รวมไปถึงอัปเกรด RouterOS เป็นเวอร์ชัน 6.41.3 ล่าสุด (หรือเวอร์ชันหลัง 6.38.5)

สำหรับวิธีเข้าควบคุมอุปกรณ์นั้น Hajime Botnet จะเริ่มต้นด้วยการสแกนอินเทอร์เน็ตเพื่อหาว่ามีอุปกรณ์ใดเปิดพอร์ต 8291 ซึ่งมีความเป็นไปได้ว่าจะเป็น MikroTik Router อยู่บ้าง จากนั้นพยายามเจาะระบบผ่านช่องโหว่ที่เคยถูกค้นพบแล้วบนพอร์ต 80, 81, 82, 8080, 8081, 8082, 8089, 8181 และ 8880 เมื่อแพร่กระจายเข้าไปได้สำเร็จ Hajime Botnet ก็จะสั่งการให้อุปกรณ์นั้นๆ ดำเนินการสแกนเพื่อค้นหาเหยื่อรายถัดไป

ถึงแม้ว่าจะแพร่ระบาดอย่างหนัก แต่ในอดีต Hajime Botnet ไม่เคยถูกใช้เพื่อโจมตีแบบ DDoS เลยแม้แต่ครั้งเดียว ซึ่งสร้างความฉงนให้แก่ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยเป็นอย่างมาก

ผู้ที่สนใจสามารถดูรายละเอียดเชิงเทคนิคและ IoC ได้ที่ https://blog.netlab.360.com/quick-summary-port-8291-scan-en/

ที่มา: https://www.bleepingcomputer.com/news/security/hajime-botnet-makes-a-comeback-with-massive-scan-for-mikrotik-routers/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

กรณีศึกษา: API กับการทำ Open Banking และการนำ API ไปต่อยอดธุรกิจในอุตสาหกรรมอื่นทั่วโลก

คงปฏิเสธไม่ได้ว่าทุกวันนี้ข้อมูลได้เข้ามามีบทบาททั้งในการทำงานและการใช้ชีวิตประจำวันของทุกคนเป็นอย่างมาก และ API นั้นก็ถือเป็นเบื้องหลังที่สำคัญอันหนึ่งในการทำให้การนำข้อมูลมาใช้งานนั้นเกิดขึ้นได้อย่างแพร่หลายและกว้างขวางอย่างทุกวันนี้ ในบทความนี้เราจะมาเล่าถึงกรณีศึกษาในการนำ API มาใช้ในธุรกิจต่างๆ ทั้งกรณีของการทำ Open Banking ที่กำลังเป็นแนวโน้มใหญ่ และการใช้งาน API ในธุรกิจอุตสาหกรรมอื่นๆ เพื่อเป็นแนวทางให้ทุกท่านได้นำไปประยุกต์ใช้เข้ากับธุรกิจของตนเองได้