Threat Database Botnets Ttint Botnet

Ttint Botnet

Ttint Botnet è una botnet IoT (Internet of Things) attiva da oltre un anno. Secondo l'analisi degli specialisti, i criminali hanno sfruttato due vulnerabilità zero-day per infiltrarsi nei router Tenda e installare malware. Mentre la maggior parte delle botnet IoT viene utilizzata principalmente per lanciare un attacco DDoS, la botnet Ttint mostra una gamma molto più ampia di funzioni disponibili, tra cui l'esecuzione di comandi di accesso remoto e la manomissione delle impostazioni DNS del router.

Due versioni di Ttint avvistate finora

Quando la botnet Ttint è stata rilevata per la prima volta, si è basata sull'abuso di una vulnerabilità zero-day Tendra che viene monitorata come CVE-2018-14558 e CVE-2020-10987. Gli hacker potrebbero sfruttare questa vulnerabilità per diffondere il loro malware per oltre sei mesi. Tuttavia, nel luglio 2020, è stato pubblicato un rapporto che descriveva in dettaglio la vulnerabilità zero-day e la rendeva di dominio pubblico. Sebbene Tendra non abbia ancora rilasciato un aggiornamento che risolva il problema, gli hacker hanno cambiato rapidamente le loro tattiche e hanno rilasciato una nuova versione del loro strumento minaccioso in appena un paio di settimane. Funzionalmente, questa seconda iterazione è rimasta praticamente invariata, ma è passata allo sfruttamento di una diversa vulnerabilità zero-day, che finora è rimasta nascosta e priva di patch.

Le persone che utilizzano i router Tendra dovrebbero essere vigili e controllare il firmware sui propri dispositivi. Secondo i ricercatori, è probabile che le versioni del firmware che vanno da AC9 a AC18 vengano attaccate e diventino vittime del Ttint Botnet. I dispositivi più colpiti si trovano in Brasile, seguiti da Stati Uniti, Sud Africa e India.

Ttint è un Mirai modificato

Fondamentalmente, Ttint Botnet è un Trojan di accesso remoto che prende di mira i dispositivi router che è una versione fortemente ampliata e modificata del malware Mirai Botnet IoT. La botnet Mirai è rimasta una scelta popolare tra i criminali informatici sin da quando il suo codice sorgente è trapelato online nel 2016. Ciò ha consentito agli hacker con diversi gradi di abilità di rilasciare varianti in libertà. Guardando Ttint Botnet rivela che di per sé, i suoi diversi componenti e funzioni non sono una novità, in particolare, ma il fatto che gli hacker responsabili siano riusciti a combinare diversi aspetti del malware IoT o Linux in un'unica entità rende la minaccia piuttosto unica.

Per i principianti, la botnet Ttint ha conservato 10 istruzioni di attacco DDoS dalla botnet Mirai, ma è stata dotata di 12 nuovi comandi responsabili del suo comportamento di accesso remoto. Un'altra differenza significativa rispetto alla botnet Mirai è il modo in cui la botnet Ttint gestisce la sua comunicazione Command-and-Control (C2). Apparentemente, Ttint Botnet è stato configurato per utilizzare un protocollo WebSocket.

Tendenza

I più visti

Caricamento in corso...