Breaking News

พบความเคลื่อนไหวใหม่ในการกระจาย MIRAI Botnet

Qihoo 360 Netlab ทีมนักวิจัยด้านความปลอดภัยระบบเครือข่ายได้รายงานเมื่อวันศุกร์ที่ผ่านมาว่ากำลังติดตามกิจกรรมที่น่าจะเชื่อมโยงกับ Mirai โดยกิจกรรมที่เกิดขึ้นมีเป้าหมายที่พอร์ต 23 และ 2323 ที่อุปกรณ์ ZyXEL ใช้เชื่อมต่ออินเตอร์เน็ตและมี Credential ของ Telnet ดั้งเดิมคือ admin กับ CentryL1nk หรือ admin กับ QwestM0dem

Netlab กล่าวว่ากิจกรรมใหม่ที่เชื่อมโยงกับ Mirai นี้ใช้ประโยชน์จาก Credential ใหม่ 2 ตัวคือ admin กับ CentryL1nk หรือ admin กับ QwestM0dem ยืนยันได้จากฐานข้อมูลการเจาะระบบเมื่อเดือนที่ผ่านมา นอกจากนี้นักวิจัยยังกล่าวว่าผู้โจมตีได้ใช้ Telnet Credential ดังกล่าวเข้าไปยัง ZyXEL และใช้ช่องโหว่รหัส CVE-2016-10401 เพื่อยกระดับสิทธิ์เป็น Root บนอุปกรณ์เป้าหมาย

ช่องโหว่ดังกล่าวมีรายละเอียดดังนี้ ‘อุปกรณ์ ZyXEL PK5001Z มี zyad5001 เป็นรหัสผ่านของ SU(Superuser) นั่นทำให้ผู้โจมตีสามารถได้สิทธิ์ Root เพียงทราบรหัสผ่านบัญชีผู้ใช้ที่ไม่ใช่ Root (หรือบัญชีดั้งเดิมที่มากับการติดตั้งอุปกรณ์ของ ISP)’ ทีมนักวิจัยกล่าวว่าผู้โจมตีได้ใช้ข้อมูลช่องโหว่ที่ถูกประกาศออกต่อสาธรณะเมื่อเดือนตุลาคม

จากข้อมูลของทีมนักวิจัย Qihoo 360 Netlab ได้พบการเริ่มใช้งาน Credential 2 ตัวที่กล่าวข้างต้นเมื่อวันที่ 22 พฤศจิกายนและหลังจาก 60 ชั่วโมงผ่านไป พบว่ากิจกรรมดังกล่าวมีปริมาณเกือบ 100k จาก Scanner IP ในประเทศอาเจนติน่า ซึ่งนักวิจัยค่อนข้างมั่นใจว่าเป็น Mirai โดยในปี 2016 Botnet ตัวนี้ได้กระจายตัวด้วยการใช้รหัสผ่านดั้งเดิมไปยังอุปกรณ์ IoT จำนวนมาก ซึ่งตั้งแต่ Mirai Botnet ได้เริ่มปฏิบัติการสถิติจาก 1 สิงหาคม 2016 ถึง 31 กรกฎาคม 2017 มี IPv4 ของอุปกรณ์ IoT ที่ได้รับผลกระทบไปกว่า 184,258 อุปกรณ์

ที่มา : https://threatpost.com/newly-published-exploit-code-used-to-spread-marai-variant/128998/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รัฐบาลไต้หวัสสั่งแบน Zoom จากประเด็นด้านความมั่นคงปลอดภัย

ไต้หวันสั่งห้ามหน่วยงานรัฐทุกแห่งใช้ Zoom ระบบ Video Conference ยอดนิยมหลังจากมีประเด็นเรื่องความมั่นคงปลอดภัยและความเป็นส่วนบุคคลถูกเปิดเผยออกมาเป็นจำนวนมาก นับเป็นรัฐบาลแรกที่ออกประกาศแบนการใช้ Zoom ในขณะนี้

Fortinet เปิดให้ดาวน์โหลด FortiClient 6.0 แบบ Standalone ฟรี

ในสถานการณ์ที่ COVID-19 กำลังแพร่ระบาดอยู่ในขณะนี้ หลายบริษัทเริ่มมีมาตรการให้พนักงานสามารถทำงานจากที่บ้าน (Work from Home) ได้ เพื่อช่วยยกระดับการรักษาความมั่นคงปลอดภัยของอุปกรณ์คอมพิวเตอร์ของพนักงาน ไม่ว่าจะเป็น Windows, MAC หรือ Linux ให้ดียิ่งขึ้น …