Mirai là một loại lây nhiễm vào các thiết bị IoT (camera an ninh, router, máy in,...) và biến chúng thành một mạng máy tính ma () nhằm mục đích tấn công từ chối dịch vụ DDoS, được phát hiện lần đầu vào tháng 8/2016. Cũng trong năm đó, cuộc tấn công DDoS lớn nhất thế giới từng được biết đến với lưu lượng hơn 1Tbps vào website công ty hosting OVH được thực hiện thông qua một mạng botnet với hơn 152 nghìn thiết bị IoT bao gồm cả camera CCTV và máy quay video cá nhân. Mã độc Miral sau đó nhanh chóng bị sao chép và lợi dụng bởi , gây ra các cuộc tấn công mạng với các quy mô khác nhau.
Năm 2021, các nhà nghiên cứu từ AT&T Alien Lab (Mỹ) phát hiện biến thể Moobot của botnet Mirai đang rà quét Internet để tìm kiếm lỗ hổng thực thi mã từ xa CVE-2020-10987 trong bộ định tuyến Tenda.
Nhóm nghiên cứu FortiGuard Labs của Fortinet cho biết: "Mạng botnet Beastmode (hay còn gọi là B3astmode) là biến thể của Mirai đã tích hợp thêm việc khai thác các lỗ hổng để tăng lây nhiễm trên nhiều thiết bị. Năm lỗ hổng mới đã khai thác trong vòng một tháng, ba trong số đó nhắm tới các bộ định tuyến TOTOLINK".
Các lỗ hổng trong bộ định tuyến TOTOLINK bị khai thác bao gồm:
- CVE-2022-26210 (CVSS 9,8): Lỗ hổng chèn lệnh có thể bị khai thác để thực thi mã tùy ý.
- CVE-2022-26186 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến bộ định tuyến TOTOLINK N600R và A7100RU.
- 10 lỗ hổng có mã định danh từ CVE-2022-25075 đến CVE-2022-25084 (CVSS 9,8): Lỗ hổng chèn lệnh ảnh hưởng đến nhiều bộ định tuyến TOTOLINK, cho phép thực thi mã.
Các mục tiêu khai thác khác của Beastmode bao gồm các lỗi trong TP-Link Tapo C200 IP camera (CVE-2021-4045, CVSS 9,8), bộ định tuyến Huawei HG532 (CVE-2017-17215, CVSS 8,8), các giải pháp giám sát video của NUUO và Netgear (CVE-2016-5674, CVSS 9,8), các sản phẩm bị ngừng hỗ trợ của D-Link (CVE-2021-45382, CVSS 9,8).
.png)
Beastmode với các tên tệp và thông số khác nhau
Các nhà nghiên cứu cũng cho biết thêm: "Mặc dù nhóm tin tặc đứng đằng sau mã độc Mirai đã bị bắt vào năm 2018, tuy nhiên với việc liên tục phát hiện các biến thể mới, cụ thể là Beastmode. Điều này cho thấy hacker có thể nhanh chóng kết hợp các lỗ hỗng bảo mật mới được khai thác để lây nhiễm các thiết bị chưa được vá lỗi".
Để ngăn chặn các mô hình bị khai thác bởi botnet, người dùng được khuyến nghị khẩn trương cập nhật thiết bị lên các phiên bản mới nhất.
Trương Đình Dũng
15:00 | 19/01/2022
18:00 | 16/08/2022
17:00 | 01/04/2022
12:00 | 23/09/2022
09:00 | 08/06/2023
14:00 | 28/03/2022
14:00 | 17/10/2022
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
14:00 | 07/08/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện phần mềm độc hại nhắm mục tiêu vào Hệ thống kiểm soát công nghiệp (ICS) được sử dụng trong một cuộc tấn công mạng nhắm vào một công ty năng lượng Lvivteploenerg ở thành phố Lviv của Ukraine vào đầu tháng 1/2024.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
14:00 | 24/10/2024
