Condi มุ่งเป้าไปที่อุปกรณ์ใหม่ๆ เพื่อสร้าง DDos botnet
Condi ใช้ประโยชน์จากช่องโหว่ของเราเตอร์ TP-Link Archer AX21 (AX1800) Wi-Fi
ในการสร้างบอทเพื่อทำการโจมตี
Condi มุ่งเป้าไปที่อุปกรณ์ใหม่ๆ เพื่อสร้าง DDos botnet ที่มีอานุภาพสูง สามารถเช่าเพื่อทำการโจมตีเว็บไซต์และบริการต่างๆได้ นอกจากนี้ผู้ไม่ประสงค์ดีที่อยู่เบื้องหลัง Condi ทำการขาย Source Code เพื่อสร้างรายได้ ส่งผลให้มีการสร้าง Project เป็นจำนวนมาก
ร้านค้า Condi ที่มีการขาย DDos Services และ Source Code
รายงานจาก Fortinet กล่าวว่า Condi มุ่งเป้าไปที่ CVE-2023-1389 เป็นการทำ Command Injection ที่ไม่ได้รับการตรวจสอบสิทธิ์ มีความรุนแรงสูงและใช้ช่องโหว่จาก API หน้า Interface การจัดการเว็บเราเตอร์ จากระยะไกล
การแพร่กระจายไปยังช่องโหว่ของเราเตอร์ TP-Link มัลแวร์จะทำการสแกน IP (Public) ที่มีการเปิด port 80 หรือ 8080 จากนั้นจะทำการส่งคำขอและทำการเจาะช่องโหว่แบบ Hard Code เพื่อดาวน์โหลดและเรียกใช้ Shell Script จากระยะไกลที่ทำให้อุปกรณ์ใหม่ติดไวรัส
CVE-2023-1389
นอกจากนี้ นักวิเคราะห์ยังพบตัวอย่างที่ใช้ Shell Script กับ ADB (Android Debug Bridge) ซึ่งบ่งชี้ว่า botnet แพร่กระจายผ่านอุปกรณ์ที่มีการเปิด port ADB อยู่ (TCP/5555)
คำแนะนำ
- ติดตั้งโปรแกรม Antivirus
- ทำการอัปเดตซอฟต์แวร์และอัปเดตแพทช์สม่ำเสมอ
- ใช้ Firewall เพื่อตรวจสอบและควบคุมการเข้าถึงระบบเครือข่าย
- หลีกเลี่ยงการเข้าถึงเว็บผิดกฎหมาย เว็บผู้ใหญ่ หรือ เว็บการพนัน
Ref: https://www.bleepingcomputer.com/news/security/new-condi-malware-builds-ddos-botnet-out-of-tp-link-ax21-routers/