Mạng Botnet Nexcorium
Các cuộc điều tra an ninh mạng cho thấy các tác nhân đe dọa đang tích cực khai thác các lỗ hổng bảo mật trong hệ thống DVR của TBK và các bộ định tuyến Wi-Fi TP-Link đã lỗi thời để triển khai các biến thể của mạng botnet Mirai. Những thiết bị này, thường bị bỏ qua trong các chiến lược bảo mật, lại là những điểm xâm nhập hấp dẫn do phần mềm lỗi thời, cấu hình yếu và việc vá lỗi không thường xuyên. Việc triển khai rộng rãi chúng càng làm tăng giá trị của chúng như những mục tiêu trong các cuộc tấn công mạng quy mô lớn.
Mục lục
Khai thác các lỗ hổng đã biết để truy cập ban đầu
Chiến dịch nhắm mục tiêu vào các thiết bị DVR của TBK khai thác lỗ hổng CVE-2024-3721, một lỗ hổng tấn công chèn lệnh có mức độ nghiêm trọng trung bình (điểm CVSS: 6.3) ảnh hưởng đến các mẫu DVR-4104 và DVR-4216. Bằng cách khai thác lỗ hổng này, kẻ tấn công phát tán một phần mềm độc hại dựa trên Mirai có tên là Nexcorium. Lỗ hổng này đã được phát hiện trong các chiến dịch trước đây; nó từng được sử dụng để triển khai cả các biến thể Mirai và mạng botnet RondoDox đang nổi lên.
Ngoài ra, nghiên cứu trước đó đã chỉ ra một hệ sinh thái dịch vụ tải (loader-as-a-service) chịu trách nhiệm phân phối nhiều họ phần mềm độc hại, bao gồm RondoDox, Mirai và Morte, bằng cách lợi dụng thông tin đăng nhập yếu và các lỗ hổng bảo mật cũ trên các bộ định tuyến, thiết bị IoT và ứng dụng doanh nghiệp.
Chuỗi lây nhiễm và triển khai tải trọng
Chuỗi tấn công bắt đầu bằng việc khai thác lỗ hổng DVR để triển khai một kịch bản tải xuống. Kịch bản này xác định kiến trúc Linux của hệ thống mục tiêu và thực thi phần mềm độc hại phù hợp. Sau khi được kích hoạt, phần mềm độc hại sẽ báo hiệu sự xâm nhập bằng cách hiển thị một thông báo cho biết đã thiết lập được quyền kiểm soát.
Nexcorium phản ánh thiết kế cấu trúc của các biến thể Mirai truyền thống, tích hợp dữ liệu cấu hình được mã hóa, cơ chế giám sát hệ thống và các mô-đun chuyên dụng để khởi động các cuộc tấn công từ chối dịch vụ phân tán.
Kỹ thuật di chuyển ngang và kiên trì
Phần mềm độc hại này mở rộng phạm vi hoạt động trong mạng bằng cách khai thác các lỗ hổng bổ sung, bao gồm CVE-2017-17215, nhắm mục tiêu vào các thiết bị Huawei HG532. Nó cũng sử dụng các kỹ thuật tấn công vét cạn (brute-force) bằng cách sử dụng danh sách thông tin đăng nhập được nhúng để xâm nhập các hệ thống khác thông qua truy cập Telnet.
Sau khi giành được quyền truy cập, phần mềm độc hại sẽ thực hiện một số hành động:
- Thiết lập phiên shell trên máy chủ bị xâm nhập.
- Cấu hình tính năng lưu trữ dữ liệu bằng cách sử dụng crontab và dịch vụ systemd.
- Kết nối với máy chủ điều khiển từ xa để nhận chỉ thị.
- Xóa tập tin nhị phân gốc để giảm khả năng bị phát hiện trong quá trình điều tra.
Các bước này đảm bảo kiểm soát liên tục đồng thời giảm thiểu khả năng bị phát hiện và phân tích.
Khả năng và tác động vận hành của Botnet
Sau khi thiết lập được khả năng duy trì quyền truy cập, Nexcorium cho phép kẻ tấn công thực hiện nhiều cuộc tấn công DDoS khác nhau bằng nhiều giao thức, bao gồm:
UDP
TCP
SMTP
Khả năng tấn công đa hướng này cho phép thực hiện các kịch bản tấn công linh hoạt và có tác động mạnh, biến mạng botnet trở thành mối đe dọa đáng kể đối với cơ sở hạ tầng mục tiêu.
Bối cảnh các mối đe dọa dai dẳng và rủi ro trong tương lai
Nexcorium là một ví dụ điển hình cho sự phát triển của các mạng botnet tập trung vào IoT, kết hợp khả năng tái sử dụng khai thác, khả năng tương thích đa kiến trúc và các cơ chế duy trì mạnh mẽ. Việc tích hợp các lỗ hổng đã biết cùng với các chiến thuật tấn công vét cạn mạnh mẽ cho thấy mức độ thích ứng cao.
Việc tiếp tục dựa vào thông tin đăng nhập mặc định và các thiết bị chưa được vá lỗi đảm bảo rằng hệ sinh thái IoT sẽ vẫn là một điểm yếu nghiêm trọng. Nếu không có những cải tiến đáng kể trong các biện pháp bảo mật thiết bị, các hệ thống này sẽ tiếp tục thúc đẩy các hoạt động botnet quy mô lớn và làm gián đoạn sự ổn định của mạng lưới toàn cầu.
