พบ ShadowV2 Botnet โจมตีอุปกรณ์ IoT จาก D-Link และ TP-Link ทั่วโลก

ทีมวิจัยด้านความปลอดภัยจาก Fortinet FortiGuard Labs ค้นพบ Botnet Malware ตัวใหม่ชื่อ ShadowV2 ที่โจมตีอุปกรณ์ IoT โดยใช้ประโยชน์จากช่องโหว่หลายรายการบนอุปกรณ์จาก D-Link, TP-Link และผู้ผลิตรายอื่นๆ

ShadowV2 เป็น Malware ที่พัฒนาต่อยอดจาก Mirai โดยแพร่กระจายผ่านช่องโหว่อย่างน้อย 8 รายการ ได้แก่ CVE-2009-2765 บน DD-WRT, CVE-2020-25506, CVE-2022-37055, CVE-2024-10914 และ CVE-2024-10915 บน D-Link, CVE-2023-52163 บน DigiEver, CVE-2024-3721 บน TBK และ CVE-2024-53375 บน TP-Link โดยเฉพาะช่องโหว่ CVE-2024-10914 เป็นช่องโหว่ Command Injection ที่ส่งผลกระทบต่ออุปกรณ์ D-Link รุ่นที่หมดอายุการสนับสนุนแล้ว ซึ่ง D-Link ประกาศว่าจะไม่ออกแพตช์แก้ไข

นักวิจัยพบกิจกรรมของ ShadowV2 ในช่วงที่เกิดเหตุ AWS ล่มเมื่อเดือนตุลาคมที่ผ่านมา โดย Botnet นี้ทำงานเฉพาะในช่วงที่ AWS หยุดให้บริการเท่านั้น ซึ่งอาจบ่งชี้ว่าเป็นการทดสอบระบบ การโจมตีมุ่งเป้าไปที่ Router, อุปกรณ์ NAS และ DVR ใน 7 กลุ่มอุตสาหกรรม รวมถึงภาครัฐ เทคโนโลยี การผลิต MSSP โทรคมนาคม และการศึกษา โดยมีผลกระทบทั่วโลกทั้งในอเมริกาเหนือ อเมริกาใต้ ยุโรป แอฟริกา เอเชีย และออสเตรเลีย

ShadowV2 รองรับการโจมตีแบบ DDoS บน UDP, TCP และ HTTP Protocol พร้อมรูปแบบ Flood หลายประเภท โดยใช้ XOR-encoded Configuration สำหรับ Filesystem Paths, User-Agent Strings และ HTTP Headers ขณะนี้ยังไม่ทราบว่าใครอยู่เบื้องหลัง ShadowV2 และมีวัตถุประสงค์อย่างไร Fortinet แนะนำให้ผู้ดูแลระบบอัปเดต Firmware บนอุปกรณ์ IoT ให้เป็นปัจจุบันอยู่เสมอ และเผยแพร่ Indicators of Compromise (IoCs) เพื่อช่วยในการตรวจจับภัยคุกคามนี้

ที่มา: https://www.bleepingcomputer.com/news/security/new-shadowv2-botnet-malware-used-aws-outage-as-a-test-opportunity/