พบ Botnet “Mirai Variant” ตัวใหม่โจมตีอุปกรณ์ Network Security ที่มีช่องโหว่


เมื่อวันที่ 16 กุมภาพันธ์ 2564 ที่ผ่านมา นักวิจัยของ Paloalto พบการโจมตีของ Hacker โดยอาศัยช่องโหว่ของ อุปกรณ์ Network Security จำนวนมาก ได้แก่ 


เมื่อโจมตีสำเร็จ Hacker จะวาง Binary File ที่เป็นอันตราย ของ Botnet “Mirai variants” และ Binary File ยังสร้าง filter rules เพื่อทำการโจมตี Brute-force attacks 

Binary File  

  • lolol.sh: ดาวน์โหลดและเรียกใช้ Binary File “Dark” นอกจากนี้ยังกำหนด Schedules job เพื่อรันสคริปต์อีกครั้ง และ สร้าง Traffic rules ที่บล็อกการเชื่อมต่อขาเข้าผ่านพอร์ตทั่วไปสำหรับ SSH, HTTP, telnet 
  • install.sh: ติดตั้ง ‘zmap’ network-scanner ดาวน์โหลด GoLang และไฟล์สำหรับเรียกใช้การโจมตีแบบ brute-force attack บน IP ของอุปกรณ์ที่พบโดย zmap 
  • nbrute.[arch]: Binary File สำหรับทำการโจมตี brute-force attack 
  • Combo.txt: ไฟล์ข้อความที่มี credentials เพื่อใช้ทำการโจมตี brute-force attack 
  • dark.[arch]: Mirai-based binary ใช้สำหรับการเผยแพร่ผ่านช่องโหว่ หรือ ทำการโจมตี brute-force attack 

คำแนะนำ 

1.Update Patch อุปกรณ์ให้เป็น Version ปัจจุบัน 

2.Block IP ทั้งหมดตามที่กล่าวไว้ใน IOC 

ที่มา: https://www.bleepingcomputer.com/news/security/new-botnet-targets-network-security-devices-with-critical-exploits/, https://unit42.paloaltonetworks.com/mirai-variant-iot-vulnerabilities/ 

Share

Add Your Comments

Your email address will not be published.