พบความเคลื่อนไหวใหม่ในการกระจาย MIRAI Botnet

Qihoo 360 Netlab ทีมนักวิจัยด้านความปลอดภัยระบบเครือข่ายได้รายงานเมื่อวันศุกร์ที่ผ่านมาว่ากำลังติดตามกิจกรรมที่น่าจะเชื่อมโยงกับ Mirai โดยกิจกรรมที่เกิดขึ้นมีเป้าหมายที่พอร์ต 23 และ 2323 ที่อุปกรณ์ ZyXEL ใช้เชื่อมต่ออินเตอร์เน็ตและมี Credential ของ Telnet ดั้งเดิมคือ admin กับ CentryL1nk หรือ admin กับ QwestM0dem

Netlab กล่าวว่ากิจกรรมใหม่ที่เชื่อมโยงกับ Mirai นี้ใช้ประโยชน์จาก Credential ใหม่ 2 ตัวคือ admin กับ CentryL1nk หรือ admin กับ QwestM0dem ยืนยันได้จากฐานข้อมูลการเจาะระบบเมื่อเดือนที่ผ่านมา นอกจากนี้นักวิจัยยังกล่าวว่าผู้โจมตีได้ใช้ Telnet Credential ดังกล่าวเข้าไปยัง ZyXEL และใช้ช่องโหว่รหัส CVE-2016-10401 เพื่อยกระดับสิทธิ์เป็น Root บนอุปกรณ์เป้าหมาย

ช่องโหว่ดังกล่าวมีรายละเอียดดังนี้ ‘อุปกรณ์ ZyXEL PK5001Z มี zyad5001 เป็นรหัสผ่านของ SU(Superuser) นั่นทำให้ผู้โจมตีสามารถได้สิทธิ์ Root เพียงทราบรหัสผ่านบัญชีผู้ใช้ที่ไม่ใช่ Root (หรือบัญชีดั้งเดิมที่มากับการติดตั้งอุปกรณ์ของ ISP)’ ทีมนักวิจัยกล่าวว่าผู้โจมตีได้ใช้ข้อมูลช่องโหว่ที่ถูกประกาศออกต่อสาธรณะเมื่อเดือนตุลาคม

จากข้อมูลของทีมนักวิจัย Qihoo 360 Netlab ได้พบการเริ่มใช้งาน Credential 2 ตัวที่กล่าวข้างต้นเมื่อวันที่ 22 พฤศจิกายนและหลังจาก 60 ชั่วโมงผ่านไป พบว่ากิจกรรมดังกล่าวมีปริมาณเกือบ 100k จาก Scanner IP ในประเทศอาเจนติน่า ซึ่งนักวิจัยค่อนข้างมั่นใจว่าเป็น Mirai โดยในปี 2016 Botnet ตัวนี้ได้กระจายตัวด้วยการใช้รหัสผ่านดั้งเดิมไปยังอุปกรณ์ IoT จำนวนมาก ซึ่งตั้งแต่ Mirai Botnet ได้เริ่มปฏิบัติการสถิติจาก 1 สิงหาคม 2016 ถึง 31 กรกฎาคม 2017 มี IPv4 ของอุปกรณ์ IoT ที่ได้รับผลกระทบไปกว่า 184,258 อุปกรณ์

ที่มา : https://threatpost.com/newly-published-exploit-code-used-to-spread-marai-variant/128998/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft ประกาศเพิ่มความสามารถ Conditional Access ให้ 365 Business

Microsoft ได้ประกาศเพิ่มความสามารถด้านความมั่นคงปลอดภัยอย่าง Azure AD Conditional Access ให้แก่ผู้ใช้งาน 365 Business แล้วซึ่งสามารถกำหนดการเข้าถึงตามเงื่อนไข เช่น พิกัดของผู้ใช้หรืออุปกรณ์เข้าใช้ ข้อมูล หรือแอปพลิเคชัน เป็นต้น

แจกฟรีเครื่องมือ Decryptor มัลแวร์เรียกค่าไถ่ GandCrab 5.2

ในที่สุดก็มีการปล่อย GandCrab Decryptor เวอร์ชัน 5.2 ออกมาให้ใช้ได้ฟรีแล้ว จากการผนึกกำลังกันระหว่างหน่วยงานทางกฏหมายของหลายประเทศ ทั้งนี้ (คาดว่า) น่าจะเป็นเวอร์ชันสุดท้ายเพราะคนร้ายเบื้องหลังได้ประกาศเกษียณหลังจากทำรายได้เข้ากระเป๋าตัวเองไปได้กว่า 150 ล้านเหรียญสหรัฐฯ ต่อปี