Sự gia tăng các cuộc tấn công Botnet nhắm vào máy chủ PHP và thiết bị IoT

[Starlink]

Các nhà nghiên cứu an ninh mạng đang kêu gọi chú ý đến sự gia tăng các cuộc tấn công tự động nhắm vào máy chủ PHP, thiết bị IoT và cổng đám mây của nhiều botnet như Mirai, Gafgyt và Mozi.

Đơn vị nghiên cứu mối đe dọa Qualys (TRU) cho biết trong một báo cáo chia sẻ với The Hacker News: "Các chiến dịch tự động này khai thác các lỗ hổng CVE đã biết và cấu hình đám mây không đúng để kiểm soát các hệ thống bị lộ và mở rộng mạng lưới botnet".

Công ty an ninh mạng cho biết máy chủ PHP đã nổi lên là mục tiêu nổi bật nhất của các cuộc tấn công này do việc sử dụng rộng rãi các hệ thống quản lý nội dung như WordPress và Craft CMS. Điều này tạo ra một bề mặt tấn công lớn vì nhiều triển khai PHP có thể gặp phải lỗi cấu hình, plugin và theme lỗi thời, cũng như lưu trữ tệp không an toàn.

Một số điểm yếu nổi bật trong các khuôn khổ PHP đã bị các tác nhân đe dọa khai thác được liệt kê dưới đây:

    CVE-2017-9841 - Lỗ hổng thực thi mã từ xa trong PHPUnit
    CVE-2021-3129 - Lỗ hổng thực thi mã từ xa trong Laravel
    CVE-2022-47945 - Lỗ hổng thực thi mã từ xa trong ThinkPHP Framework

Qualys cho biết họ cũng đã quan sát thấy những nỗ lực khai thác liên quan đến việc sử dụng chuỗi truy vấn "/?XDEBUG_SESSION_START=phpstorm" trong các yêu cầu HTTP GET để bắt đầu phiên gỡ lỗi Xdebug với môi trường phát triển tích hợp (IDE) như PhpStorm.

Công ty cho biết: "Nếu Xdebug vô tình được kích hoạt trong môi trường sản xuất, kẻ tấn công có thể sử dụng các phiên này để tìm hiểu sâu hơn về hành vi của ứng dụng hoặc trích xuất dữ liệu nhạy cảm".

Ngoài ra, các tác nhân đe dọa vẫn đang tiếp tục tìm kiếm thông tin đăng nhập, khóa API và mã thông báo truy cập trong các máy chủ tiếp xúc với internet để kiểm soát các hệ thống dễ bị tấn công, cũng như lợi dụng các lỗ hổng bảo mật đã biết trong các thiết bị IoT để biến chúng thành botnet. Những lỗ hổng này bao gồm:

    CVE-2022-22947 - Lỗ hổng thực thi mã từ xa trong Spring Cloud Gateway
    CVE-2024-3721 - Lỗ hổng tiêm lệnh trong TBK DVR-4104 và DVR-4216
    Một lỗi cấu hình trong DVR MVPower TV-7104HE cho phép người dùng chưa xác thực thực hiện các lệnh hệ thống tùy ý thông qua yêu cầu HTTP GET

Qualys cho biết thêm, hoạt động quét thường bắt nguồn từ các cơ sở hạ tầng đám mây như Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean và Akamai Cloud, minh họa cách các tác nhân đe dọa đang lạm dụng các dịch vụ hợp pháp để trục lợi trong khi che giấu nguồn gốc thực sự của chúng.

"Các tác nhân đe dọa ngày nay không cần phải quá tinh vi mới có thể hoạt động hiệu quả", báo cáo lưu ý. "Với các bộ công cụ khai thác, khung botnet và công cụ quét phổ biến, ngay cả những kẻ tấn công cấp thấp cũng có thể gây ra thiệt hại đáng kể."

Để bảo vệ khỏi mối đe dọa này, người dùng được khuyên nên cập nhật thiết bị của mình, xóa các công cụ phát triển và gỡ lỗi trong môi trường sản xuất, bảo mật bí mật bằng AWS Secrets Manager hoặc HashiCorp Vault và hạn chế quyền truy cập công khai vào cơ sở hạ tầng đám mây.

James Maude, Giám đốc công nghệ tại BeyondTrust, cho biết: "Mặc dù trước đây botnet có liên quan đến các cuộc tấn công DDoS quy mô lớn và các vụ lừa đảo khai thác tiền điện tử, nhưng trong thời đại các mối đe dọa bảo mật danh tính, chúng tôi thấy chúng đang đảm nhận vai trò mới trong hệ sinh thái mối đe dọa".

"Việc truy cập vào một mạng lưới rộng lớn các bộ định tuyến và địa chỉ IP của chúng có thể cho phép kẻ tấn công thực hiện các cuộc tấn công nhồi nhét thông tin đăng nhập và rải mật khẩu trên quy mô lớn. Botnet cũng có thể tránh được các biện pháp kiểm soát định vị địa lý bằng cách đánh cắp thông tin đăng nhập của người dùng hoặc chiếm quyền điều khiển phiên duyệt web, sau đó sử dụng một nút botnet gần vị trí thực tế của nạn nhân, và thậm chí có thể sử dụng cùng một ISP với nạn nhân để tránh các phát hiện đăng nhập hoặc chính sách truy cập bất thường."

Tiết lộ này được đưa ra sau khi NETSCOUT phân loại botnet DDoS-cho-thuê, được gọi là AISURU, là một loại phần mềm độc hại mới có tên TurboMirai, có thể phát động các cuộc tấn công DDoS vượt quá 20 terabit mỗi giây (Tbps). Botnet này chủ yếu bao gồm các bộ định tuyến truy cập băng thông rộng dành cho người tiêu dùng, hệ thống camera quan sát và đầu ghi hình (DVR) trực tuyến, và các thiết bị khác tại cơ sở khách hàng (CPE).

Công ty cho biết : "Các botnet này kết hợp các khả năng tấn công DDoS chuyên dụng bổ sung và các chức năng đa dụng, cho phép thực hiện cả các cuộc tấn công DDoS và các hoạt động bất hợp pháp khác như nhồi nhét thông tin đăng nhập, thu thập dữ liệu web bằng trí tuệ nhân tạo (AI), gửi thư rác và lừa đảo".

"AISURU bao gồm dịch vụ proxy dân dụng tích hợp được sử dụng để phản ánh các cuộc tấn công DDoS ở lớp ứng dụng HTTPS do các công cụ tấn công bên ngoài tạo ra."

Việc biến các thiết bị bị xâm nhập thành proxy dân dụng cho phép khách hàng trả phí định tuyến lưu lượng truy cập của họ qua một trong các nút trong mạng botnet, mang lại khả năng ẩn danh và hòa nhập với hoạt động mạng thông thường. Theo nhà báo an ninh độc lập Brian Krebs, tất cả các dịch vụ proxy lớn đều tăng trưởng theo cấp số nhân trong sáu tháng qua, trích dẫn dữ liệu từ   Đăng nhập để xem liên kết.