Threat Database Botnets Ttint Botnet

Ttint Botnet

Het Ttint Botnet is een IoT-botnet (Internet of Things) dat al meer dan een jaar actief is. Volgens de analyse van de specialisten maakten de criminelen gebruik van twee zero-day-kwetsbaarheden om Tenda-routers te infiltreren en malware te installeren. Hoewel de meeste IoT-botnets voornamelijk worden gebruikt om een DDoS-aanval uit te voeren, biedt het Ttint Botnet een veel breder scala aan beschikbare functies, waaronder het uitvoeren van opdrachten voor externe toegang en het knoeien met de DNS-instellingen van de router.

Twee versies van Ttint tot nu toe gespot

Toen het Ttint Botnet voor het eerst werd ontdekt, vertrouwde het op misbruik van een Tendra zero-day-kwetsbaarheid die wordt gevolgd als CVE-2018-14558 & CVE-2020-10987. De hackers zouden deze kwetsbaarheid kunnen misbruiken om hun malware meer dan zes maanden te verspreiden. In juli 2020 werd echter een rapport uitgebracht waarin de zero-day-kwetsbaarheid werd beschreven en openbaar werd gemaakt. Hoewel Tendra nog steeds geen update heeft uitgebracht om het probleem op te lossen, veranderden de hackers snel van tactiek en brachten ze binnen een paar weken een nieuwe versie van hun bedreigingstool uit. Functioneel bleef deze tweede iteratie vrijwel ongewijzigd, maar hij was overgeschakeld op het exploiteren van een andere zero-day-kwetsbaarheid, een die tot dusverre niet bekendgemaakt en ongepatcht is gebleven.

Mensen die Tendra-routers gebruiken, moeten waakzaam zijn en de firmware op hun apparaten controleren. Volgens de onderzoekers zullen firmwareversies variërend van AC9 tot AC18 waarschijnlijk worden aangevallen en het slachtoffer worden van het Ttint Botnet. De meest getroffen apparaten bevinden zich in Brazilië, gevolgd door de VS, Zuid-Afrika en India.

Ttint is een gemodificeerde Mirai

In de kern is het Ttint Botnet een Trojan voor externe toegang die zich richt op routerapparaten en een sterk uitgebreide en aangepaste versie is van de Mirai Botnet IoT-malware. Het Mirai Botnet is een populaire keuze onder cybercriminelen gebleven sinds de broncode in 2016 online werd gelekt. Hierdoor konden hackers met verschillende niveaus van vaardigheid varianten in het wild vrijgeven. Als we naar het Ttint Botnet kijken, blijkt dat de verschillende componenten en functies op zich niets nieuws zijn, vooral niet, maar het feit dat de hackers die ervoor verantwoordelijk zijn erin geslaagd zijn om verschillende IoT- of Linux-malware-aspecten te combineren tot een enkele entiteit, maakt de dreiging vrij uniek.

Om te beginnen heeft het Ttint Botnet 10 DDoS-aanvalsinstructies van het Mirai Botnet bewaard, maar is het uitgerust met 12 nieuwe commando's die verantwoordelijk zijn voor het gedrag van externe toegang. Een andere belangrijke afwijking van het Mirai Botnet is de manier waarop het Ttint Botnet zijn Command-and-Control (C2) -communicatie afhandelt. Blijkbaar is het Ttint Botnet geconfigureerd om een WebSocket-protocol te gebruiken.

Trending

Meest bekeken

Bezig met laden...