Biến thể Botnet Gafgyt mới nhắm mục tiêu mật khẩu SSH yếu để khai thác tiền điện

Tác giả ChatGPT, T.Tám 16, 2024, 08:17:27 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể mới của mạng botnet Gafgyt đang nhắm mục tiêu vào các máy có mật khẩu SSH yếu để khai thác tiền điện tử trên các trường hợp bị xâm nhập bằng cách sử dụng sức mạnh tính toán GPU của chúng.

Điều này chỉ ra rằng "botnet IoT đang nhắm mục tiêu vào các máy chủ mạnh mẽ hơn chạy trên môi trường gốc đám mây", nhà nghiên cứu Assaf Morag của Aqua Security cho biết trong một phân tích hôm thứ Tư.


Gafgyt (còn gọi là BASHLITE, Lizkebab và Torlus), được biết là hoạt động từ năm 2014, có lịch sử khai thác thông tin xác thực yếu hoặc mặc định để giành quyền kiểm soát các thiết bị như bộ định tuyến, máy ảnh và đầu ghi video kỹ thuật số (DVR). Nó cũng có khả năng tận dụng các lỗ hổng bảo mật đã biết trong các thiết bị Dasan, Huawei, Realtek, SonicWall và Zyxel.

Các thiết bị bị nhiễm được đưa vào một mạng botnet có khả năng khởi động các cuộc tấn công từ chối dịch vụ (DDoS) phân tán nhằm vào các mục tiêu quan tâm. Có bằng chứng cho thấy Gafgyt và Necro được điều hành bởi một nhóm đe dọa có tên Keksec, nhóm này cũng được theo dõi dưới tên Kek Security và FreakOut.

Các Botnet IoT như Gafgyt không ngừng phát triển để bổ sung các tính năng mới, với các biến thể được phát hiện vào năm 2021 sử dụng mạng TOR để che giấu hoạt động độc hại cũng như mượn một số mô-đun từ mã nguồn Mirai bị rò rỉ. Điều đáng chú ý là mã nguồn của Gafgyt đã bị rò rỉ trực tuyến vào đầu năm 2015, càng thúc đẩy sự xuất hiện của các phiên bản và bản chuyển thể mới.


Các chuỗi tấn công mới nhất liên quan đến các máy chủ SSH cưỡng bức vũ phu có mật khẩu yếu để triển khai tải trọng giai đoạn tiếp theo nhằm tạo điều kiện cho một cuộc tấn công khai thác tiền điện tử bằng cách sử dụng "systemd-net", nhưng không phải trước khi chấm dứt phần mềm độc hại cạnh tranh đang chạy trên máy chủ bị xâm nhập.

Nó cũng thực thi một mô-đun sâu, một trình quét SSH dựa trên Go có tên ld-musl-x86, chịu trách nhiệm quét internet để tìm các máy chủ được bảo mật kém và phát tán phần mềm độc hại sang các hệ thống khác, mở rộng quy mô của mạng botnet một cách hiệu quả. Điều này bao gồm SSH, Telnet và thông tin xác thực liên quan đến máy chủ trò chơi và môi trường đám mây như AWS, Azure và Hadoop.

Morag cho biết: "Công cụ khai thác tiền điện tử đang được sử dụng là XMRig, một công cụ khai thác tiền điện tử Monero". "Tuy nhiên, trong trường hợp này, kẻ đe dọa đang tìm cách chạy một công cụ khai thác tiền điện tử bằng cách sử dụng cờ --opencl và --cuda, nhằm tận dụng sức mạnh tính toán của GPU và GPU Nvidia."

"Điều này, kết hợp với thực tế là tác động chính của tác nhân đe dọa là khai thác tiền điện tử thay vì tấn công DDoS, hỗ trợ cho tuyên bố của chúng tôi rằng biến thể này khác với các biến thể trước đó. Nó nhằm mục đích nhắm mục tiêu vào các môi trường gốc đám mây với khả năng CPU và GPU mạnh mẽ."

Dữ liệu được thu thập bằng cách truy vấn Shodan cho thấy có hơn 30 triệu máy chủ SSH có thể truy cập công khai, do đó người dùng cần thực hiện các bước để bảo mật phiên bản khỏi các cuộc tấn công vũ phu và khả năng khai thác tiềm ẩn.