Mirai botnet variants

การค้นพบใหม่ที่ระบุแหล่งที่มาในการโจมตีทางไซเบอร์ในภาคพลังงานของเดนมาร์ก 

By admin News

การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์กเมื่อปีที่แล้วอาจไม่เกี่ยวข้องกับกลุ่มแฮ็ก Sandworm ที่เชื่อมโยงกับรัสเซีย ซึ่งเป็นข้อค้นพบใหม่จากการแสดง Forescout 

การโจมตีซึ่งกำหนดเป้าหมายไปที่องค์กรพลังงานของเดนมาร์ก 22 แห่งในเดือนพฤษภาคม 2566 เกิดขึ้นในสองระลอกที่แตกต่างกัน โดยระลอกแรกใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในไฟร์วอลล์ของ Zyxel (CVE-2023-28771) และเหตุการณ์ที่เกี่ยวข้องซึ่งเห็นว่าผู้ไม่ประสงค์ดีปรับใช้ Mirai botnet variants บนโฮสต์ 
ที่ติดไวรัสผ่านทางเวกเตอร์การเข้าถึงเริ่มต้นที่ยังไม่เป็นที่รู้จัก 

ครั้งแรกเกิดขึ้นในวันที่ 11 พฤษภาคม ในขณะที่ครั้งที่สองเกิดขึ้นตั้งแต่วันที่ 22 ถึง 31 พฤษภาคม 2566 ในการโจมตีหนึ่งที่ตรวจพบเมื่อวันที่ 24 พฤษภาคม พบว่าระบบที่ถูกขโมยข้อมูลนั้นกำลังติดต่อกับที่อยู่ IP (217.57.80[.]18 และ 70.62.153[.]174) ซึ่งก่อนหน้านี้เคยถูกใช้เป็น Command-and-Control (C2) สำหรับ Cyclops Blink botnet ที่ถูกปิดแล้ว 

การตรวจสอบอย่างละเอียดของการโจมตีนี้โดย Forescout ได้เปิดเผยว่าไม่เพียงแต่ทั้งสองครั้ง 
ของการโจมตีไม่เกี่ยวข้องกัน แต่ยังมีความเป็นไปได้ว่าไม่ได้เป็นผลงานของกลุ่มที่ได้รับการสนับสนุนจากภาครัฐ เนื่องจากครั้งที่สองเป็นส่วนหนึ่งของการโจมตีที่เน้นในการโจมตีไฟร์วอล Zyxel ที่ยังไม่ได้รับการแก้ไข  
ซึ่งขณะนี้ยังไม่ทราบว่าใครเป็นผู้กระทำการโจมตีทั้งสองครั้งนี้ 

แคมเปญนี้อธิบายว่าเป็น ‘ second wave’ การโจมตีในเดนมาร์ก เริ่มต้นก่อนและต่อเนื่องหลังจาก [ระยะเวลา 10 วัน] โดยกำหนดเป้าหมายไฟร์วอลล์โดยไม่เลือกปฏิบัติในลักษณะที่คล้ายกันมาก โดยเปลี่ยนเฉพาะเซิร์ฟเวอร์ชั่วคราวเป็นระยะเท่านั้น 

มีหลักฐานที่บ่งชี้ว่าการโจมตีนี้อาจเริ่มต้นเร็วที่สุดในวันที่ 16 กุมภาพันธ์โดยใช้อุปกรณ์ Zyxel ที่ทราบอื่นๆ (CVE-2020-9054 และ CVE-2022-30525) ควบคู่ไปกับ CVE-2023-28771 และยังคงมีอยู่จนถึงเดือนตุลาคม 2566 โดยมีกิจกรรมเจาะลึกหน่วยงานต่างๆ ทั่วยุโรปและสหรัฐอเมริกา 

นี่เป็นหลักฐานเพิ่มเติมที่การใช้ช่องโหว่ CVE-2023-27881 ไม่ได้ถูกจำกัดเพียงแค่สำหรับสถานีพลังงานในเดนมาร์ก กำลังดำเนินอยู่และมุ่งเป้าไปที่อุปกรณ์ที่ถูกเผยแพร่ ซึ่งบางส่วนบังเอิญเป็นไฟร์วอลล์ของ Zyxel  
ที่ปกป้ององค์กรโครงสร้างพื้นฐาน 

คำแนะนำ 

  • จำกัดการเข้าถึงและให้สิทธิ์เฉพาะในการใช้งานที่จำเป็น 
  • ตรวจสอบและบันทึกข้อมูลกิจกรรมที่เกี่ยวข้องกับช่องโหว่ 
  • ควรทำการบล็อค IP ที่เป็นอันตรายเพื่อลดความเสี่ยงของการโจมตี 
  • ควรทำการปิดช่องโหว่โดยอัปเดตหรือแก้ไขการกำหนดค่าที่เกี่ยวข้องเพื่อลดความเสี่ยงที่อจจะเกิดขึ้น 

Ref: https://thehackernews.com/2024/01/new-findings-challenge-attribution-in.html 

Share