Ttint Botnet

O Ttint Botnet é um botnet IoT (Internet of Things) que está ativo há mais de um ano. De acordo com a análise dos especialistas, os criminosos exploraram duas vulnerabilidades de dia zero para se infiltrar nos roteadores Tenda e instalar malware. Enquanto a maioria dos botnets IoT são usados para lançar um ataque DDoS principalmente, o Ttint Botnet exibe uma gama muito mais ampla de funções disponíveis, incluindo executar comandos de acesso remoto e adulterar as configurações DNS do roteador.

Duas Versões do Ttint Foram Vistas Até Agora

Quando o Ttint Botnet foi detectado pela primeira vez, ele abusou de uma vulnerabilidade de dia zero do Tendra que é rastreada como CVE-2018-14558 e CVE-2020-10987. Os hackers podem explorar essa vulnerabilidade para espalhar seu malware por mais de seis meses. No entanto, em julho de 2020, um relatório foi lançado detalhando a vulnerabilidade de dia zero e tornando-a de conhecimento público. Embora o Tendra ainda não tenha lançado uma atualização corrigindo o problema, os hackers mudaram de tática rapidamente e lançaram uma nova versão de sua ferramenta ameaçadora em apenas algumas semanas. Funcionalmente, essa segunda iteração permaneceu praticamente inalterada, mas passou a explorar uma vulnerabilidade de dia zero diferente, que até agora permaneceu secreta e sem correção.

Pessoas que usam roteadores Tendra devem estar atentos e verificar o firmware em seus dispositivos. De acordo com os pesquisadores, versões de firmware variando de AC9 a AC18 são susceptíveis de serem atacadas e se tornarem vítimas do Botnet Ttint. Os dispositivos mais afetados estão localizados no Brasil, seguido pelos EUA, África do Sul e Índia.

O Ttint é um Mirai Modificado

Em sua essência, o Ttint Botnet é um Trojan de Acesso Remoto direcionado aos dispositivos roteadores que são uma versão fortemente expandida e modificada do malware Mirai Botnet IoT. O Mirai Botnet continua sendo uma escolha popular entre os cibercriminosos desde que seu código-fonte vazou online em 2016. Isso permitiu que hackers com vários graus de habilidade liberassem variantes. Olhando para o Ttint Botnet revela que por si só, seus diferentes componentes e funções não são nada novo, particularmente, mas o fato de que os hackers responsáveis por ele conseguiram combinar diferentes aspectos de malware IoT ou Linux em uma entidade única torna a ameaça bastante única.

Para começar, o Ttint Botnet preservou dez instruções de ataque DDoS do Mirai Botnet, mas foi equipado com doze novos comandos responsáveis pelo seu comportamento de acesso remoto. Outra mudança significativa com relação ao Mirai Botnet é a maneira como o Ttint Botnet lida com a sua comunicação Command-and-Control (C2). Aparentemente, o Ttint Botnet foi configurado para empregar um protocolo WebSocket.