Ttint Botnet

Ttint Botnet er et IoT (Internet of Things) botnet, der har været aktiv i over et år. Ifølge specialistenes analyse udnyttede de kriminelle to nul-dags sårbarheder til at infiltrere Tenda-routere og installere malware. Mens de fleste IoT-botnets primært bruges til at starte et DDoS-angreb, viser Ttint Botnet en langt bredere vifte af tilgængelige funktioner, herunder udførelse af fjernadgangskommandoer og manipulation med routerens DNS-indstillinger.

To versioner af farvetone, der er set indtil videre

Da Ttint Botnet først blev opdaget, baserede det sig på at misbruge en Tendra nul-dags sårbarhed, der spores som CVE-2018-14558 & CVE-2020-10987. Hackerne kunne udnytte denne sårbarhed til at sprede deres malware i over seks måneder. I juli 2020 blev der imidlertid udgivet en rapport, der beskriver nul-dages sårbarhed og offentliggør den. Selvom Tendra stadig ikke har udsendt en opdatering, der løser problemet, skiftede hackerne deres taktik hurtigt og frigav en ny version af deres truende værktøj på bare et par uger. Funktionelt forblev denne anden iteration uændret stort set, men den var skiftet til at udnytte en anden nul-dags sårbarhed, en hidtil forblevet ukendt og upatchet.

Personer, der bruger Tendra-routere, skal være opmærksomme og kontrollere firmwaren på deres enheder. Ifølge forskerne vil firmwareversioner, der spænder fra AC9 til AC18, sandsynligvis blive angrebet og blive ofre for Ttint Botnet. De mest berørte enheder er placeret i Brasilien efterfulgt af USA, Sydafrika og Indien.

Ttint er en modificeret Mirai

I sin kerne er Ttint Botnet en Remote Access Trojan målretning til routerenheder, der er en stærkt udvidet og modificeret version af Mirai Botnet IoT-malware. Mirai Botnet har været et populært valg blandt cyberkriminelle lige siden dets kildekode blev lækket online tilbage i 2016. Dette har gjort det muligt for hackere med forskellig grad af dygtighed at frigive varianter i naturen. Ser man på Ttint Botnet afslører, at de forskellige komponenter og funktioner i sig selv ikke er noget nyt, især, men det faktum, at hackere, der er ansvarlige for det, har formået at kombinere forskellige IoT- eller Linux-malware-aspekter i en entydig enhed gør truslen ret unik.

Til at begynde med har Ttint Botnet bevaret 10 DDoS angrebsinstruktioner fra Mirai Botnet, men er udstyret med 12 nye kommandoer, der er ansvarlige for dets fjernadgangsadfærd. En anden vigtig afvigelse fra Mirai Botnet er den måde, Ttint Botnet håndterer sin Command-and-Control (C2) kommunikation. Tilsyneladende er Ttint Botnet konfigureret til at anvende en WebSocket-protokol.