محققان امنیت سایبری هشدار دادهاند که یک کمپین جدید در مقیاس بزرگ از نقصهای امنیتی دوربینهای IP شرکت AVTECH و روترهای Huawei HG532 سوءاستفاده میکند تا این دستگاهها را به یک باتنت Mirai با نام Murdoc Botnet تبدیل کند.
این فعالیت که همچنان ادامه دارد، “تواناییهای پیشرفتهای را نشان میدهد و از آسیبپذیریها برای نفوذ به دستگاهها و ایجاد شبکههای گسترده باتنت استفاده میکند.” این را شیلپش تریودی، محقق امنیتی Qualys، در یک تحلیل بیان کرده است.
این کمپین حداقل از ژوئیه ۲۰۲۴ فعال بوده و تاکنون بیش از ۱,۳۷۰ سیستم را آلوده کرده است. بیشتر این آلودگیها در کشورهای مالزی، مکزیک، تایلند، اندونزی و ویتنام گزارش شدهاند.
شواهد نشان میدهد که این باتنت از آسیبپذیریهای شناختهشدهای مانند CVE-2017-17215 و CVE-2024-7029 برای دسترسی اولیه به دستگاههای اینترنت اشیا (IoT) استفاده میکند و سپس یک اسکریپت شل را اجرا میکند تا مرحله بعدی حمله را بارگذاری کند. این اسکریپت، بدافزار باتنت را دریافت کرده و آن را با توجه به معماری CPU دستگاه اجرا میکند. هدف نهایی این حملات، استفاده از باتنت برای انجام حملات DDoS (منع سرویس توزیعشده) است.
این رویداد چند هفته پس از آن رخ داده که یک باتنت Mirai با نام gayfemboy از یک آسیبپذیری امنیتی اخیراً افشاشده در روترهای صنعتی Four-Faith از اوایل نوامبر ۲۰۲۴ سوءاستفاده کرده بود. همچنین در اواسط ۲۰۲۴، شرکت Akamai گزارش داد که آسیبپذیری CVE-2024-7029 توسط مهاجمان برای اضافه کردن دستگاههای AVTECH به یک باتنت مورد سوءاستفاده قرار گرفته است.
هفته گذشته، جزئیاتی درباره یک کمپین بزرگ دیگر حمله DDoS منتشر شد که از پایان سال ۲۰۲۴ با استفاده از یک باتنت IoT (تشکیلشده از سوءاستفاده از آسیبپذیریها و اعتبارنامههای ضعیف) شرکتها و بانکهای بزرگ ژاپنی را هدف قرار داده است. برخی دیگر از اهداف این حملات در ایالات متحده، بحرین، لهستان، اسپانیا، اسرائیل و روسیه متمرکز شدهاند.
این حملات DDoS عمدتاً بخشهای مخابرات، فناوری، میزبانی وب، رایانش ابری، بانکداری، بازیهای آنلاین و خدمات مالی را هدف قرار دادهاند. بیش از ۵۵٪ از دستگاههای آلوده در هند قرار دارند و پس از آن آفریقای جنوبی، برزیل، بنگلادش و کنیا در ردههای بعدی هستند.
شرکت Trend Micro اعلام کرد: “این باتنت شامل انواع بدافزارهای مشتقشده از Mirai و BASHLITE است. دستورات این باتنت شامل روشهای مختلف حمله DDoS، بهروزرسانی بدافزار و فعالسازی خدمات پروکسی میشود.”
این حملات شامل نفوذ به دستگاههای IoT برای نصب یک بدافزار لودر است که بار مفید اصلی را دریافت میکند. سپس این بدافزار به یک سرور C2 (فرمان و کنترل) متصل شده و منتظر دستورات بعدی برای انجام حملات DDoS یا اهداف دیگر میماند.
برای محافظت در برابر چنین حملاتی، توصیه میشود فرآیندهای مشکوک، رویدادها و ترافیک شبکهای که از اجرای فایلها یا اسکریپتهای غیرقابل اعتماد ایجاد میشوند، تحت نظارت قرار گیرند. همچنین بهروزرسانیهای firmware و تغییر نام کاربری و رمز عبور پیشفرض دستگاهها بسیار توصیه میشود.
شاید دوست داشته باشید
باتهای مبتنی بر پایتون با سوءاستفاده از سرورهای PHP، گسترش پلتفرمهای قمار را تقویت میکنند.
تهدید جدید گروه هکری DoNot Team بدافزار اندرویدی Tanzeem
