Malware Mirai (MooBot) มุ่งโจมตีอุปกรณ์ D-Link
8 กันยายน 2565
มัลแวร์ Mirai หรือที่รู้จักกันในชื่อ ‘MooBot’ กลับมาอีกครั้ง สำหรับการโจมตีในช่วงเดือนที่ผ่านมา โดยกำหนดเป้าหมายโจมตีไปยังอุปกรณ์ router ยี่ห้อ D-Link ที่มีช่องโหว่ทั้งแบบเก่า และแบบใหม่
MooBot ถูกค้นพบโดยนักวิเคราะห์ทีม Fortinet ในช่วงเดือนธันวาคม 2564 โดยมีเป้าหมายไปข้อบกพร่องในกล้องยี่ห้อ Hikvision เพื่อให้การแพร่กระจายไปอย่างรวดเร็ว ได้ทำการส่งอุปกรณ์เข้าไปใช้ในกองทัพแล้วใช้วิธี DDoS (distributed denial of service) ในการโจมตี
นอกจากนั้นยังได้ทำการเปลี่ยนขอบเขตการทำงานใหม่ โดยมองหากลุ่มอุปกรณ์ที่มีช่องโหว่ที่ยังไม่ได้ใช้งานที่สามารถดักจับได้
จากรายงานที่รวบรวมโดยจากกลุ่มนักวิจัย Unit 42 ของ Palo Alto Network พบว่าตอนนี้ MooBot ได้กำหนดเป้าหมายช่องโหว่ที่เกิดขึ้นในอุปกรณ์ D-Link ดังต่อไปนี้
Payload ที่ใช้ประโยชน์จากช่องโหว่ CVE-2022-26258 (Unit 42)
ทางผู้จัดจำหน่าย (Vendor) ได้ออกมาชี้แจงเรื่องของการอัพเดทความปลอดภัยเพื่อแก้ไขช่องโหว่ที่เกิดขึ้น แต่ยังมีผู้ใช้บางคนยังไม่ได้แก้ไขแแพตช์ หรือไม่ได้ใช้แพตช์นี้ โดยเฉพาะ 2 ช่องโหว่สุดท้ายที่ถูกพบในช่วงเดือนมีนาคม และพฤษภาคม ปีนี้
การโจมตีของทาง MooBot จะใช้ประโยชน์จากการที่ผู้ใช้เองไม่สนใจเรื่องของช่องโหว่นี้เพราะได้รับคะแนน CVSS ที่ต่ำ เพื่อเรียกใช้งานโค้ดจากระยะไกลไปที่เครื่องเป้าหมาย และทำการดึงข้อมูลรวมถึงใช้คำสั่งการทำงานต่างๆ โดยพลการ
หลังจากที่เจ้าตัวมัลแวร์ทำการถอดรหัสที่อยู่ในฮาร์ดโค้ดออกจากการตั้งค่าแล้ว อุปกรณ์เราเตอร์ใหม่จะได้รับการลงทะเบียนไว้ใน C2 ของรายการภัยคุกคาม แต่สิ่งสำคัญคือรายงานที่แสดงอยู่ใน Unit 42 จะไม่เหมือนกับรายงานของทาง Fortinet ซึ่งจะแสดงรายละเอียดการรีเฟรชโครงสร้างพื้นฐานของผู้โจมตี
ท้ายที่สุดเราเตอร์ที่มีส่วนร่วมในการโจมตี DDoS ไปยังเป้าหมายต่างๆ ขึ้นอยู่กับสิ่งที่ผู้โจมตีของ MooBot ต้องการว่าจะให้โจมตีไปยังที่ใด โดยทั่วไปแล้วผู้โจมตีจะทำการขายบริการ DDoS ให้กับผู้อื่น ดังนั้นในการโจมตีจะขึ้นอยู่กับผู้ที่เช่าบริการ ว่าต้องการให้การทำงานของเป้าหมายหยุดการทำงานลง หรือก่อให้เกิดความวุ่นวายในการให้บริการออนไลน์ต่างๆ
ข้อสังเกตง่ายๆหากผู้ใช้งานอุปกรณ์ D-Link ถูกบุกรุก หรือถูกโจมตี ความเร็วในการใช้อินเตอร์เน็ตจะลดลง หรือหยุดการทำงานลง เนื่องจากอุปกรณ์เราเตอร์มีความร้อนสูงเกินไป หรือถูกเปลี่ยนแปลงค่า DNS รวมถึงสัญญาณทั่วไปของการถูก botnet โจมตี
ในการป้องกันที่ดีที่สุดสำหรับ MooBot คือการอัพเดทเฟิร์มแวร์ที่พร้อมใช้งานบนอุปกรณ์เราเตอร์ D-Link เพราะถ้าหากผู้ใช้งานเอง ใช้อุปกรณ์ที่เก่า และไม่มีการอัพเดท ควรกำหนดค่าการใช้งานดังกล่าว เพื่อเป็นการป้องกันการถูกเรียกใช้งานโค้ดจากระยะไกล หากผู้ใช้งานเองถูกโจมตีหรือพบอาการดังกล่าวขั้นต้น ให้รีบทำการรีเซ็ตอุปกรณ์ที่เกี่ยวข้อง แล้วทำการเปลี่ยนรหัสการใช้งานผู้ดูแลระบบ และติดตั้งซอฟต์แวร์ หรืออัพเดทแพตช์ให้เป็นเวอร์ชั่นล่าสุดจากผู้ผลิตโดยทันที
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา