เมนู

Malware Mirai (MooBot) มุ่งโจมตีอุปกรณ์ D-Link

D-Link Full

หลังพบ 4 ช่องโหว่ที่สำคัญ: CVE-2015-2051, CVE-2018-6530, CVE-2022-26258, CVE-2022-28958

8 กันยายน 2565

มัลแวร์ Mirai หรือที่รู้จักกันในชื่อ ‘MooBot’ กลับมาอีกครั้ง สำหรับการโจมตีในช่วงเดือนที่ผ่านมา โดยกำหนดเป้าหมายโจมตีไปยังอุปกรณ์ router ยี่ห้อ D-Link ที่มีช่องโหว่ทั้งแบบเก่า และแบบใหม่

MooBot ถูกค้นพบโดยนักวิเคราะห์ทีม Fortinet ในช่วงเดือนธันวาคม 2564 โดยมีเป้าหมายไปข้อบกพร่องในกล้องยี่ห้อ  Hikvision เพื่อให้การแพร่กระจายไปอย่างรวดเร็ว ได้ทำการส่งอุปกรณ์เข้าไปใช้ในกองทัพแล้วใช้วิธี DDoS (distributed denial of service) ในการโจมตี

นอกจากนั้นยังได้ทำการเปลี่ยนขอบเขตการทำงานใหม่ โดยมองหากลุ่มอุปกรณ์ที่มีช่องโหว่ที่ยังไม่ได้ใช้งานที่สามารถดักจับได้

จากรายงานที่รวบรวมโดยจากกลุ่มนักวิจัย Unit 42 ของ Palo Alto Network พบว่าตอนนี้ MooBot ได้กำหนดเป้าหมายช่องโหว่ที่เกิดขึ้นในอุปกรณ์ D-Link ดังต่อไปนี้

Payload ที่ใช้ประโยชน์จากช่องโหว่ CVE-2022-26258 (Unit 42)

ทางผู้จัดจำหน่าย (Vendor) ได้ออกมาชี้แจงเรื่องของการอัพเดทความปลอดภัยเพื่อแก้ไขช่องโหว่ที่เกิดขึ้น แต่ยังมีผู้ใช้บางคนยังไม่ได้แก้ไขแแพตช์ หรือไม่ได้ใช้แพตช์นี้ โดยเฉพาะ 2 ช่องโหว่สุดท้ายที่ถูกพบในช่วงเดือนมีนาคม และพฤษภาคม ปีนี้

การโจมตีของทาง MooBot จะใช้ประโยชน์จากการที่ผู้ใช้เองไม่สนใจเรื่องของช่องโหว่นี้เพราะได้รับคะแนน CVSS ที่ต่ำ เพื่อเรียกใช้งานโค้ดจากระยะไกลไปที่เครื่องเป้าหมาย และทำการดึงข้อมูลรวมถึงใช้คำสั่งการทำงานต่างๆ โดยพลการ

หลังจากที่เจ้าตัวมัลแวร์ทำการถอดรหัสที่อยู่ในฮาร์ดโค้ดออกจากการตั้งค่าแล้ว อุปกรณ์เราเตอร์ใหม่จะได้รับการลงทะเบียนไว้ใน C2 ของรายการภัยคุกคาม แต่สิ่งสำคัญคือรายงานที่แสดงอยู่ใน Unit 42 จะไม่เหมือนกับรายงานของทาง Fortinet ซึ่งจะแสดงรายละเอียดการรีเฟรชโครงสร้างพื้นฐานของผู้โจมตี

ท้ายที่สุดเราเตอร์ที่มีส่วนร่วมในการโจมตี DDoS ไปยังเป้าหมายต่างๆ ขึ้นอยู่กับสิ่งที่ผู้โจมตีของ MooBot ต้องการว่าจะให้โจมตีไปยังที่ใด โดยทั่วไปแล้วผู้โจมตีจะทำการขายบริการ DDoS ให้กับผู้อื่น ดังนั้นในการโจมตีจะขึ้นอยู่กับผู้ที่เช่าบริการ ว่าต้องการให้การทำงานของเป้าหมายหยุดการทำงานลง หรือก่อให้เกิดความวุ่นวายในการให้บริการออนไลน์ต่างๆ

ข้อสังเกตง่ายๆหากผู้ใช้งานอุปกรณ์ D-Link ถูกบุกรุก หรือถูกโจมตี ความเร็วในการใช้อินเตอร์เน็ตจะลดลง หรือหยุดการทำงานลง เนื่องจากอุปกรณ์เราเตอร์มีความร้อนสูงเกินไป หรือถูกเปลี่ยนแปลงค่า DNS  รวมถึงสัญญาณทั่วไปของการถูก botnet โจมตี

ในการป้องกันที่ดีที่สุดสำหรับ MooBot คือการอัพเดทเฟิร์มแวร์ที่พร้อมใช้งานบนอุปกรณ์เราเตอร์ D-Link เพราะถ้าหากผู้ใช้งานเอง ใช้อุปกรณ์ที่เก่า และไม่มีการอัพเดท ควรกำหนดค่าการใช้งานดังกล่าว เพื่อเป็นการป้องกันการถูกเรียกใช้งานโค้ดจากระยะไกล หากผู้ใช้งานเองถูกโจมตีหรือพบอาการดังกล่าวขั้นต้น ให้รีบทำการรีเซ็ตอุปกรณ์ที่เกี่ยวข้อง แล้วทำการเปลี่ยนรหัสการใช้งานผู้ดูแลระบบ และติดตั้งซอฟต์แวร์ หรืออัพเดทแพตช์ให้เป็นเวอร์ชั่นล่าสุดจากผู้ผลิตโดยทันที