Threat Database Botnets Ttint Botnet

Ttint Botnet

Botnet Ttint to botnet IoT (Internetu rzeczy), który jest aktywny od ponad roku. Według analizy specjalistów przestępcy wykorzystali dwie luki typu „zero-day", aby przeniknąć do routerów Tenda i zainstalować złośliwe oprogramowanie. Podczas gdy większość botnetów IoT służy głównie do przeprowadzania ataku DDoS, botnet Ttint wyświetla znacznie szerszy zakres dostępnych funkcji, w tym wykonywanie poleceń dostępu zdalnego i manipulowanie ustawieniami DNS routera.

Do tej pory zauważono dwie wersje Ttint

Kiedy botnet Ttint został po raz pierwszy wykryty, polegał na nadużywaniu luki Tendra typu zero-day, która jest śledzona jako CVE-2018-14558 i CVE-2020-10987. Hakerzy mogą wykorzystać tę lukę do rozprzestrzeniania złośliwego oprogramowania przez ponad sześć miesięcy. Jednak w lipcu 2020 roku opublikowano raport szczegółowo opisujący lukę dnia zerowego i podający go do wiadomości publicznej. Chociaż Tendra nadal nie wydała aktualizacji naprawiającej ten problem, hakerzy szybko zmienili taktykę i wypuścili nową wersję narzędzia do zagrażania w ciągu zaledwie kilku tygodni. Funkcjonalnie ta druga iteracja pozostała praktycznie niezmieniona, ale przeszła do wykorzystywania innej luki zero-day, która do tej pory pozostawała nieujawniona i niezałatana.

Osoby korzystające z routerów Tendra powinny zachować czujność i sprawdzić oprogramowanie wewnętrzne swoich urządzeń. Według naukowców wersje oprogramowania układowego od AC9 do AC18 mogą zostać zaatakowane i stać się ofiarami botnetu Ttint. Najbardziej zagrożone urządzenia znajdują się w Brazylii, a następnie w Stanach Zjednoczonych, RPA i Indiach.

Ttint to zmodyfikowana Mirai

Zasadniczo Ttint Botnet to trojan zdalnego dostępu atakujący urządzenia routera, który jest mocno rozbudowaną i zmodyfikowaną wersją złośliwego oprogramowania Mirai Botnet IoT. Botnet Mirai pozostaje popularnym wyborem wśród cyberprzestępców od czasu, gdy jego kod źródłowy wyciekł do sieci w 2016 roku. Pozwoliło to hakerom o różnym poziomie umiejętności na wypuszczenie wariantów na wolność. Spojrzenie na botnet Ttint pokazuje, że same w sobie jego różne komponenty i funkcje nie są niczym nowym, w szczególności, ale fakt, że odpowiedzialnym za niego hakerom udało się połączyć różne aspekty złośliwego oprogramowania IoT lub Linux w pojedynczą całość, sprawia, że zagrożenie jest raczej wyjątkowe.

Na początek botnet Ttint zachował 10 instrukcji ataku DDoS z botnetu Mirai, ale został wyposażony w 12 nowych poleceń odpowiedzialnych za zachowanie zdalnego dostępu. Kolejnym znaczącym odstępstwem od botnetu Mirai jest sposób, w jaki botnet Ttint obsługuje komunikację typu Command-and-Control (C2). Wygląda na to, że botnet Ttint został skonfigurowany do obsługi protokołu WebSocket.

Popularne

Najczęściej oglądane

Ładowanie...