Một biến thể mới của mạng botnet IoT được gọi là BotenaGo đã xuất hiện, đặc biệt là chọn 1 trong các thiết bị DVR camera an ninh Lilin để lây nhiễm phần mềm độc hại Mirai cho chúng.
Được Nozomi Networks mệnh danh là “Lilin Scanner”, phiên bản mới nhất được thiết kế để khai thác lỗ hổng Command injection quan trọng hai năm tuổi trong phần lõi DVR đã được công ty Đài Loan vá vào tháng 2 năm 2020.
BotenaGo, được ghi nhânj lần đầu tiên vào tháng 11 năm 2021 bởi AT&T Alien Labs, được viết bằng Golang, một ngôn ngữ lập trình đã trở nên khá phổ biến trong giới tội phạm mạng. Trong trường hợp này, nó đến đóng gói với việc khai thác hơn 30 lỗ hổng bảo mật ảnh hưởng đến nhiều thương hiệu , bao gồm Linksys, D-Link, NETGEAR, và ZTE.
Mã nguồn của botnet kể từ đó đã được tải lên GitHub. Điều này có nghĩa là những tên tội phạm khác hiện có thể nhanh chóng tạo ra các biến thể mới của công cụ hoặc sử dụng nó như hiện tại để thực hiện các chiến dịch của chúng.. Các nhà nghiên cứu cho biết năm nay: “Chỉ với 2.891 dòng mã, BotenaGo có tiềm năng trở thành khởi đầu cho nhiều biến thể mới sử dụng mã nguồn của nó.”
Phần mềm độc hại BotenaGo mới là phần mềm mới nhất khai thác lỗ hổng trong thiết bị Lilin DVR sau Chalubo, Fbot và Moobot. Đầu tháng này, Phòng thí nghiệm nghiên cứu an ninh mạng của Qihoo 360 (360 Netlab) đã trình bày chi tiết về một botnet DDoS lây lan nhanh chóng có tên Fodcha đã lây lan qua các lỗ hổng N-Day khác nhau và mật khẩu Telnet/SSH yếu.
Một khía cạnh quan trọng khiến Lillin Scanner khác với BotenaGo là nó phụ thuộc vào một chương trình bên ngoài để xây dựng danh sách địa chỉ IP của các thiết bị Lilin dễ bị tấn công, sau đó khai thác lỗ hổng nói trên để thực thi mã tùy ý từ xa trên mục tiêu và triển khai tải trọng Mirai.
Cần lưu ý rằng phần mềm độc hại không thể tự lây lan theo kiểu giống sâu và chỉ có thể được sử dụng để tấn công các địa chỉ IP được cung cấp làm đầu vào bằng các mã nhị phân Mirai.
Các nhà nghiên cứu cho biết: “Một hành vi khác liên quan đến mạng botnet Mirai là loại trừ các dải IP thuộc các mạng nội bộ của Bộ Quốc phòng Hoa Kỳ (DoD), Bưu điện Hoa Kỳ (USPS), General Electric (GE), Hewlett-Packard (HP) và nhiều mạng khác.”
Giống như Mirai, sự xuất hiện của Lilin Scanner chỉ ra việc tái sử dụng mã nguồn sẵn có để tạo ra các nhánh phần mềm độc hại mới.
Các nhà nghiên cứu cho biết thêm: “Các tác giả đã xóa gần như tất cả hơn 30 lần khai thác có trong mã nguồn ban đầu của BotenaGo, có vẻ như công cụ này đã nhanh chóng được xây dựng bằng cách sử dụng cơ sở mã nguồn phần mềm độc hại BotenaGo.”
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://thehackernews.com/2022/04/new-botenago-malware-variant-targeting.html
