458/67 (IT) ประจำวันพฤหัสบดีที่ 26 ธันวาคม 2567
พบบอตเน็ตใหม่ที่อาศัยมัลแวร์ Mirai ในการโจมตีช่องโหว่ในอุปกรณ์เครือข่าย โดยมีเป้าหมายหลักเป็นเครื่องบันทึกวิดีโอเครือข่าย (NVR) ของบริษัท DigiEver รุ่น DS-2105 Pro, เราเตอร์ TP-Link และเราเตอร์ Teltonika รุ่น RUT9XX ที่ใช้เฟิร์มแวร์ล้าสมัย
โดยแคมเปญนี้เริ่มต้นตั้งแต่เดือนกันยายน 2567 ซึ่งช่องโหว่สำคัญที่ถูกใช้ใน NVR ของ DigiEver คือช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ทำให้ผู้โจมตีสามารถส่งคำสั่งอันตราย เช่น curl และ chmod ผ่าน URI /cgi-bin/cgi_main.cgi ในคำขอ HTTP POST โดยช่องโหว่นี้ยังไม่มีหมายเลข CVE หรือการแก้ไข ซึ่งบอตเน็ตยังโจมตีช่องโหว่อื่น ๆ เช่น CVE-2023-1389 ในอุปกรณ์ TP-Link และ CVE-2018-17532 ในเราเตอร์ Teltonika RUT9XX โดยนักวิจัยจาก Akamai พบว่า Mirai รุ่นใหม่นี้ดึงไบนารีมัลแวร์จากเซิร์ฟเวอร์ภายนอกและลงทะเบียนอุปกรณ์ที่ถูกบุกรุกเข้าสู่บอตเน็ตผ่านการแทรกคำสั่ง ทำให้อุปกรณ์ที่โดนโจมตี จะถูกนำไปใช้ในการโจมตีแบบ Distributed Denial of Service (DDoS) หรือแพร่กระจายการโจมตีไปยังอุปกรณ์อื่น ซึ่ง Mirai รุ่นใหม่นี้มีความสามารถเพิ่มเติม เช่น การเข้ารหัส XOR และ ChaCha20 เพื่อป้องกันการตรวจจับ
นักวิจัยของ Akamai กล่าวว่า การพัฒนาเทคนิคการถอดรหัสที่ซับซ้อน สะท้อนถึงการปรับปรุงกลยุทธ์ของผู้สร้างบอตเน็ต โดย Mirai รุ่นใหม่นี้ ได้พัฒนามาจากโค้ดต้นทางเดิม แต่ยังคงแสดงลักษณะการบดบังข้อมูลแบบดั้งเดิมในบางส่วน สำหรับคำแนะนำและการป้องกันนั้น Akamai ได้เผยแพร่ข้อมูล Indicators of Compromise (IoC) และกฎ Yara สำหรับการตรวจจับและบล็อกภัยคุกคามที่เกี่ยวข้องในรายงานล่าสุด ดังนั้น ผู้ใช้อุปกรณ์ DigiEver, TP-Link และ Teltonika RUT9XX ควรเร่งอัปเดตเฟิร์มแวร์ หรือเปลี่ยนอุปกรณ์ที่มีความเสี่ยงออกจากระบบ รวมถึงทำการตรวจสอบการตั้งค่าความปลอดภัย เพื่อป้องกันการโจมตีจากบอตเน็ตที่ใช้ Mirai ดังกล่าว
