MinhSec
Writer
Một biến thể mới của botnet khét tiếng Mirai botnet vừa xuất hiện với tên gọi Nexcorium, đang khiến giới an ninh mạng lo ngại khi tập trung tấn công vào các thiết bị ghi hình kết nối internet.
Theo báo cáo từ FortiGuard Labs thuộc Fortinet, chiến dịch này khai thác lỗ hổng nghiêm trọng CVE-2024-3721 để chiếm quyền điều khiển các đầu ghi hình TBK DVR, đặc biệt là hai mẫu DVR-4104 và DVR-4216.
Lỗ hổng này cho phép tin tặc chèn lệnh trực tiếp vào hệ thống thông qua các tham số bị thao túng, từ đó tải xuống và thực thi mã độc. Trong quá trình tấn công, các nhà nghiên cứu phát hiện một tiêu đề HTTP bất thường mang nội dung “X-Hacked-By: Nexus Team - Exploited By Erratic”, cho thấy chiến dịch có thể liên quan đến một nhóm hacker ít tên tuổi mang tên “Nexus Team”.
Sau khi xâm nhập thành công, thiết bị sẽ bị tải về các gói mã độc tương thích nhiều kiến trúc như ARM, MIPS và x86-64, kèm theo thông báo “nexuscorp đã nắm quyền kiểm soát” dấu hiệu cho thấy hệ thống đã bị chiếm quyền hoàn toàn.
Không chỉ dừng lại ở một lỗ hổng mới, mã độc này còn tận dụng cả lỗi cũ như CVE-2017-17215 để mở rộng phạm vi lây nhiễm sang các thiết bị router, đặc biệt là của Huawei. Ngoài ra, nó còn thực hiện tấn công brute-force qua Telnet bằng danh sách tài khoản mặc định để chiếm quyền các thiết bị khác trong mạng.
Một điểm đáng chú ý là cơ chế “tự vệ” của Nexcorium: nó sử dụng thuật toán băm FNV-1a để kiểm tra tính toàn vẹn. Nếu bị can thiệp, mã độc sẽ tự sao chép dưới tên khác để tránh bị phát hiện.
Để bám trụ lâu dài trên hệ thống, Nexcorium triển khai tới 4 cơ chế duy trì quyền kiểm soát, bao gồm chỉnh sửa các tệp khởi động như /etc/inittab, /etc/rc.local, tạo dịch vụ systemd riêng và thiết lập cron job. Sau khi hoàn tất, nó còn tự xóa dấu vết ban đầu nhằm đánh lừa chuyên gia bảo mật.
Mục tiêu cuối cùng của botnet này là thực hiện các cuộc tấn công DDoS quy mô lớn. Nexcorium có thể triển khai hàng loạt kỹ thuật như UDP flood, TCP SYN, TCP ACK, SMTP flood hay thậm chí các kiểu tấn công chuyên biệt như VSE query và UDP blast đủ sức gây tê liệt hệ thống mục tiêu.(cybersecuritynews)
cybersecuritynews.com
Theo báo cáo từ FortiGuard Labs thuộc Fortinet, chiến dịch này khai thác lỗ hổng nghiêm trọng CVE-2024-3721 để chiếm quyền điều khiển các đầu ghi hình TBK DVR, đặc biệt là hai mẫu DVR-4104 và DVR-4216.
Lỗ hổng này cho phép tin tặc chèn lệnh trực tiếp vào hệ thống thông qua các tham số bị thao túng, từ đó tải xuống và thực thi mã độc. Trong quá trình tấn công, các nhà nghiên cứu phát hiện một tiêu đề HTTP bất thường mang nội dung “X-Hacked-By: Nexus Team - Exploited By Erratic”, cho thấy chiến dịch có thể liên quan đến một nhóm hacker ít tên tuổi mang tên “Nexus Team”.
Sau khi xâm nhập thành công, thiết bị sẽ bị tải về các gói mã độc tương thích nhiều kiến trúc như ARM, MIPS và x86-64, kèm theo thông báo “nexuscorp đã nắm quyền kiểm soát” dấu hiệu cho thấy hệ thống đã bị chiếm quyền hoàn toàn.
Cơ chế lây nhiễm tinh vi và khả năng tấn công DDoS mạnh mẽ
Về mặt kỹ thuật, Nexcorium vẫn giữ “DNA” của Mirai với cấu trúc mô-đun quen thuộc. Nó bao gồm các thành phần giám sát tiến trình, quét mạng để lây lan và mô-đun tấn công DDoS.Không chỉ dừng lại ở một lỗ hổng mới, mã độc này còn tận dụng cả lỗi cũ như CVE-2017-17215 để mở rộng phạm vi lây nhiễm sang các thiết bị router, đặc biệt là của Huawei. Ngoài ra, nó còn thực hiện tấn công brute-force qua Telnet bằng danh sách tài khoản mặc định để chiếm quyền các thiết bị khác trong mạng.
Một điểm đáng chú ý là cơ chế “tự vệ” của Nexcorium: nó sử dụng thuật toán băm FNV-1a để kiểm tra tính toàn vẹn. Nếu bị can thiệp, mã độc sẽ tự sao chép dưới tên khác để tránh bị phát hiện.
Để bám trụ lâu dài trên hệ thống, Nexcorium triển khai tới 4 cơ chế duy trì quyền kiểm soát, bao gồm chỉnh sửa các tệp khởi động như /etc/inittab, /etc/rc.local, tạo dịch vụ systemd riêng và thiết lập cron job. Sau khi hoàn tất, nó còn tự xóa dấu vết ban đầu nhằm đánh lừa chuyên gia bảo mật.
Mục tiêu cuối cùng của botnet này là thực hiện các cuộc tấn công DDoS quy mô lớn. Nexcorium có thể triển khai hàng loạt kỹ thuật như UDP flood, TCP SYN, TCP ACK, SMTP flood hay thậm chí các kiểu tấn công chuyên biệt như VSE query và UDP blast đủ sức gây tê liệt hệ thống mục tiêu.(cybersecuritynews)
Nexcorium-Associated Mirai Variant Uses TBK DVR Exploit to Scale Botnet Operations
A new iteration of the notorious Mirai botnet, dubbed Nexcorium, has emerged in the wild, aggressively targeting internet-connected video recording devices.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
