Juniper เตือนมัลแวร์ Mirai พุ่งเป้า Session Smart Router เพื่อโจมตี DDoS

Juniper Networks ได้เตือนลูกค้า Session Smart Router ที่ใช้ Default Credentials ว่าตอนนี้มีมัลแวร์ Mirai ที่พุ่งเป้าโจมตีอุปกรณ์อยู่ เพื่อเข้าถึงอุปกรณ์เพื่อเตรียมการโจมตี DDoS ต่อไป

บริษัทโครงสร้างพื้นฐานเน็ตเวิร์กอธิบายว่ามัลแวร์ดังกล่าวจะสแกนหาอุปกรณ์ที่ใช้ Credential แบบ Default ในการ Login เข้าอุปกรณ์ ซึ่งเมื่อเข้าไปในอุปกรณ์ได้แล้วก็จะมีการสั่งรัน Command จากระยะไกล เพื่อดำเนินการกิจกรรมที่ไม่ประสงค์ดี อย่างเช่น DDoS ในอนาคต

โดย Juniper ค้นพบแคมเปญการโจมตีนี้เมื่อวันที่ 11 ธันวาคม 2024 ที่ผ่านมา โดยพบ Router ที่ติดมัลแวร์นี้ในเน็ตเวิร์กของลูกค้า ซึ่งภายหลังผู้ที่อยู่เบื้องหลังมัลแวร์ Mirai นี้ได้ใช้อุปกรณ์ที่โจมตีได้ในการโจมตี Distributed Denial-of-Service (DDoS) ต่อไป

นอกจากนี้ Juniper ยังแชร์ตัวบ่งชี้ที่บรรดาแอดมินควรจะตรวจสอบเน็ตเวิร์กและอุปกรณ์ต่าง ๆ เพราะมีโอกาสที่จะอาจจะถูก Mirai สแกนพบได้ เช่น

• การสแกนหาอุปกรณ์ตามพอร์ตทั่วไปใน Layer 4 เช่น 23, 2323, 80, 8080
• อุปกรณ์ที่เปิดบริการ SSH แล้วไม่มี Failed Login Attempt ที่อาจจะนำไปสู่การถูก Brute-Force Attack
• Outbound Traffic ที่ปริมาณเพิ่มขึ้นอย่างทันทีทันใด (Spike) ซึ่งอาจได้กลายเป็นส่วนหนึ่งในการโจมตี DDoS ไปแล้ว
• อุปกรณ์ที่มีการรีบูต (Reboot) หรือมีพฤติกรรมที่ไม่แน่ไม่นอน ที่อาจจะหมายความว่าถูกแฮกไปแล้ว
• การเชื่อมโยง SSH จาก IP Address ที่เป็น Malicious 

ด้วยเหตุนี้ ใครที่ใช้อุปกรณ์ Juniper แล้วยังใช้งาน Default Credential เช่น รหัสผ่านตามที่ตั้งค่าเริ่มต้นมา รวมทั้งไม่ได้ดำเนินการตาม Best Practices ต่าง ๆ นั้นควรพิจารณาปรับเปลี่ยนเพราะมีโอกาสที่จะถูกโจมตีได้ แนะนำให้ตรวจสอบและปรับเปลี่ยนโดยเร่งด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/juniper-warns-of-mirai-botnet-targeting-session-smart-routers/