TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทีมวิจัยด้านความปลอดภัยจาก Fortinet FortiGuard Labs ค้นพบ Botnet Malware ตัวใหม่ชื่อ ShadowV2 ที่โจมตีอุปกรณ์ IoT โดยใช้ประโยชน์จากช่องโหว่หลายรายการบนอุปกรณ์จาก D-Link, TP-Link และผู้ผลิตรายอื่นๆ
ShadowV2 เป็น Malware ที่พัฒนาต่อยอดจาก Mirai โดยแพร่กระจายผ่านช่องโหว่อย่างน้อย 8 รายการ ได้แก่ CVE-2009-2765 บน DD-WRT, CVE-2020-25506, CVE-2022-37055, CVE-2024-10914 และ CVE-2024-10915 บน D-Link, CVE-2023-52163 บน DigiEver, CVE-2024-3721 บน TBK และ CVE-2024-53375 บน TP-Link โดยเฉพาะช่องโหว่ CVE-2024-10914 เป็นช่องโหว่ Command Injection ที่ส่งผลกระทบต่ออุปกรณ์ D-Link รุ่นที่หมดอายุการสนับสนุนแล้ว ซึ่ง D-Link ประกาศว่าจะไม่ออกแพตช์แก้ไข
นักวิจัยพบกิจกรรมของ ShadowV2 ในช่วงที่เกิดเหตุ AWS ล่มเมื่อเดือนตุลาคมที่ผ่านมา โดย Botnet นี้ทำงานเฉพาะในช่วงที่ AWS หยุดให้บริการเท่านั้น ซึ่งอาจบ่งชี้ว่าเป็นการทดสอบระบบ การโจมตีมุ่งเป้าไปที่ Router, อุปกรณ์ NAS และ DVR ใน 7 กลุ่มอุตสาหกรรม รวมถึงภาครัฐ เทคโนโลยี การผลิต MSSP โทรคมนาคม และการศึกษา โดยมีผลกระทบทั่วโลกทั้งในอเมริกาเหนือ อเมริกาใต้ ยุโรป แอฟริกา เอเชีย และออสเตรเลีย
ShadowV2 รองรับการโจมตีแบบ DDoS บน UDP, TCP และ HTTP Protocol พร้อมรูปแบบ Flood หลายประเภท โดยใช้ XOR-encoded Configuration สำหรับ Filesystem Paths, User-Agent Strings และ HTTP Headers ขณะนี้ยังไม่ทราบว่าใครอยู่เบื้องหลัง ShadowV2 และมีวัตถุประสงค์อย่างไร Fortinet แนะนำให้ผู้ดูแลระบบอัปเดต Firmware บนอุปกรณ์ IoT ให้เป็นปัจจุบันอยู่เสมอ และเผยแพร่ Indicators of Compromise (IoCs) เพื่อช่วยในการตรวจจับภัยคุกคามนี้
