Nexcorium Botnet

การตรวจสอบด้านความปลอดภัยทางไซเบอร์เผยให้เห็นว่า ผู้โจมตีใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยในระบบบันทึกวิดีโอ TBK DVR และเราเตอร์ Wi-Fi TP-Link ที่หมดอายุการใช้งานแล้ว เพื่อติดตั้งบอทเน็ต Mirai เวอร์ชันต่างๆ อุปกรณ์เหล่านี้มักถูกมองข้ามในกลยุทธ์ด้านความปลอดภัย แต่กลับเป็นจุดเข้าโจมตีที่น่าสนใจเนื่องจากเฟิร์มแวร์ล้าสมัย การตั้งค่าที่ไม่แข็งแรง และการอัปเดตแพทช์ที่ไม่บ่อยนัก การใช้งานอย่างแพร่หลายของอุปกรณ์เหล่านี้ยิ่งเพิ่มมูลค่าให้กับเป้าหมายในการโจมตีทางไซเบอร์ขนาดใหญ่

การใช้ประโยชน์จากช่องโหว่ที่ทราบแล้วเพื่อเข้าถึงระบบในขั้นต้น

การโจมตีอุปกรณ์ TBK DVR ครั้งนี้ใช้ประโยชน์จากช่องโหว่ CVE-2024-3721 ซึ่งเป็นช่องโหว่การแทรกคำสั่งระดับปานกลาง (คะแนน CVSS: 6.3) ที่ส่งผลกระทบต่อรุ่น DVR-4104 และ DVR-4216 โดยการใช้ช่องโหว่นี้ ผู้โจมตีสามารถส่งเพย์โหลด ที่ใช้ Mirai ที่เรียกว่า Nexcorium ได้ ช่องโหว่นี้เคยถูกมองข้ามในการโจมตีครั้งก่อนๆ มาแล้ว โดยก่อนหน้านี้เคยถูกใช้ในการติดตั้ง Mirai เวอร์ชันต่างๆ และบอทเน็ต RondoDox ที่กำลังเกิดขึ้นใหม่

นอกจากนี้ งานวิจัยก่อนหน้านี้ยังเน้นย้ำถึงระบบนิเวศของบริการโหลดเดอร์ (loader-as-a-service) ที่รับผิดชอบในการแพร่กระจายมัลแวร์หลายตระกูล รวมถึง RondoDox, Mirai และ Morte โดยใช้ประโยชน์จากข้อมูลประจำตัวที่อ่อนแอและช่องโหว่เก่าๆ ในเราเตอร์ อุปกรณ์ IoT และแอปพลิเคชันระดับองค์กร

ห่วงโซ่การติดเชื้อและการติดตั้งเพย์โหลด

ลำดับการโจมตีเริ่มต้นด้วยการใช้ช่องโหว่ DVR เพื่อติดตั้งสคริปต์ดาวน์โหลด สคริปต์นี้จะระบุสถาปัตยกรรม Linux ของระบบเป้าหมายและเรียกใช้เพย์โหลดบอทเน็ตที่เหมาะสม เมื่อเปิดใช้งานแล้ว มัลแวร์จะส่งสัญญาณว่าระบบถูกบุกรุกโดยแสดงข้อความที่ระบุว่าสามารถควบคุมระบบได้แล้ว

Nexcorium เลียนแบบโครงสร้างของ Mirai เวอร์ชันดั้งเดิม โดยผสานรวมข้อมูลการกำหนดค่าที่เข้ารหัส กลไกการตรวจสอบระบบ และโมดูลเฉพาะสำหรับการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS)

เทคนิคการเคลื่อนไหวด้านข้างและการคงความต่อเนื่อง

มัลแวร์นี้ขยายขอบเขตการแพร่กระจายในเครือข่ายโดยใช้ประโยชน์จากช่องโหว่เพิ่มเติม รวมถึง CVE-2017-17215 ซึ่งมุ่งเป้าไปที่อุปกรณ์ Huawei HG532 นอกจากนี้ยังใช้เทคนิคการโจมตีแบบ Brute-force โดยใช้รายการข้อมูลประจำตัวที่ฝังอยู่เพื่อเจาะระบบอื่นๆ ผ่านการเข้าถึง Telnet

เมื่อเข้าถึงระบบได้แล้ว มัลแวร์จะดำเนินการหลายอย่างดังนี้:

• สร้างเซสชันเชลล์บนโฮสต์ที่ถูกบุกรุก
• ตั้งค่าการคงสถานะข้อมูลโดยใช้บริการ crontab และ systemd
• เชื่อมต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการระยะไกลเพื่อรับคำสั่ง
• ลบไฟล์ไบนารีต้นฉบับเพื่อลดโอกาสในการตรวจสอบทางนิติวิทยาศาสตร์

ขั้นตอนเหล่านี้ช่วยให้สามารถควบคุมได้อย่างต่อเนื่อง พร้อมทั้งลดโอกาสในการตรวจจับและวิเคราะห์ให้น้อยที่สุด

ขีดความสามารถของบอทเน็ตและผลกระทบต่อการปฏิบัติงาน

หลังจากรักษาความปลอดภัยการเข้าถึงแล้ว Nexcorium จะช่วยให้ผู้โจมตีสามารถดำเนินการโจมตี DDoS ได้หลากหลายรูปแบบโดยใช้โปรโตคอลหลายอย่าง ซึ่งรวมถึง:

ยูดีพี
ทีพีซีพี
SMTP

ความสามารถในการโจมตีหลายรูปแบบนี้ช่วยให้สามารถสร้างสถานการณ์การโจมตีที่ยืดหยุ่นและมีผลกระทบสูง ทำให้บอทเน็ตเป็นภัยคุกคามที่สำคัญต่อโครงสร้างพื้นฐานเป้าหมาย

สถานการณ์ภัยคุกคามที่ต่อเนื่องและความเสี่ยงในอนาคต

Nexcorium เป็นตัวอย่างของการวิวัฒนาการของบอทเน็ตที่มุ่งเน้น IoT โดยผสมผสานการใช้ช่องโหว่ซ้ำ ความเข้ากันได้ข้ามสถาปัตยกรรม และกลไกการคงอยู่ที่มีประสิทธิภาพ การบูรณาการช่องโหว่ที่รู้จักเข้ากับกลยุทธ์การโจมตีแบบ Brute-force ที่รุนแรง แสดงให้เห็นถึงความสามารถในการปรับตัวในระดับสูง

การพึ่งพาข้อมูลประจำตัวเริ่มต้นและอุปกรณ์ที่ไม่ได้อัปเดตแพตช์อย่างต่อเนื่อง ทำให้ระบบนิเวศ IoT ยังคงเป็นจุดอ่อนที่สำคัญ หากไม่มีการปรับปรุงที่สำคัญในด้านการรักษาความปลอดภัยของอุปกรณ์ ระบบเหล่านี้จะยังคงเป็นเชื้อเพลิงให้กับการปฏิบัติการบอทเน็ตขนาดใหญ่และทำลายเสถียรภาพของเครือข่ายทั่วโลกต่อไป