พบความเคลื่อนไหวใหม่ในการกระจาย MIRAI Botnet

Qihoo 360 Netlab ทีมนักวิจัยด้านความปลอดภัยระบบเครือข่ายได้รายงานเมื่อวันศุกร์ที่ผ่านมาว่ากำลังติดตามกิจกรรมที่น่าจะเชื่อมโยงกับ Mirai โดยกิจกรรมที่เกิดขึ้นมีเป้าหมายที่พอร์ต 23 และ 2323 ที่อุปกรณ์ ZyXEL ใช้เชื่อมต่ออินเตอร์เน็ตและมี Credential ของ Telnet ดั้งเดิมคือ admin กับ CentryL1nk หรือ admin กับ QwestM0dem

Netlab กล่าวว่ากิจกรรมใหม่ที่เชื่อมโยงกับ Mirai นี้ใช้ประโยชน์จาก Credential ใหม่ 2 ตัวคือ admin กับ CentryL1nk หรือ admin กับ QwestM0dem ยืนยันได้จากฐานข้อมูลการเจาะระบบเมื่อเดือนที่ผ่านมา นอกจากนี้นักวิจัยยังกล่าวว่าผู้โจมตีได้ใช้ Telnet Credential ดังกล่าวเข้าไปยัง ZyXEL และใช้ช่องโหว่รหัส CVE-2016-10401 เพื่อยกระดับสิทธิ์เป็น Root บนอุปกรณ์เป้าหมาย

ช่องโหว่ดังกล่าวมีรายละเอียดดังนี้ ‘อุปกรณ์ ZyXEL PK5001Z มี zyad5001 เป็นรหัสผ่านของ SU(Superuser) นั่นทำให้ผู้โจมตีสามารถได้สิทธิ์ Root เพียงทราบรหัสผ่านบัญชีผู้ใช้ที่ไม่ใช่ Root (หรือบัญชีดั้งเดิมที่มากับการติดตั้งอุปกรณ์ของ ISP)’ ทีมนักวิจัยกล่าวว่าผู้โจมตีได้ใช้ข้อมูลช่องโหว่ที่ถูกประกาศออกต่อสาธรณะเมื่อเดือนตุลาคม

จากข้อมูลของทีมนักวิจัย Qihoo 360 Netlab ได้พบการเริ่มใช้งาน Credential 2 ตัวที่กล่าวข้างต้นเมื่อวันที่ 22 พฤศจิกายนและหลังจาก 60 ชั่วโมงผ่านไป พบว่ากิจกรรมดังกล่าวมีปริมาณเกือบ 100k จาก Scanner IP ในประเทศอาเจนติน่า ซึ่งนักวิจัยค่อนข้างมั่นใจว่าเป็น Mirai โดยในปี 2016 Botnet ตัวนี้ได้กระจายตัวด้วยการใช้รหัสผ่านดั้งเดิมไปยังอุปกรณ์ IoT จำนวนมาก ซึ่งตั้งแต่ Mirai Botnet ได้เริ่มปฏิบัติการสถิติจาก 1 สิงหาคม 2016 ถึง 31 กรกฎาคม 2017 มี IPv4 ของอุปกรณ์ IoT ที่ได้รับผลกระทบไปกว่า 184,258 อุปกรณ์

ที่มา : https://threatpost.com/newly-published-exploit-code-used-to-spread-marai-variant/128998/