Các nhà nghiên cứu tại Phòng thí nghiệm Chainxin X đã phát hiện ra một mạng botnet mới có tên là Gayfemboy đang lây lan mạnh mẽ. Phần mềm độc hại này chủ yếu nhắm vào bộ định tuyến và các thiết bị được kết nối.
Trong số các mục tiêu ưa thích của mạng botnet là các bộ định tuyến từ các thương hiệu Four-Faith, Neterbit hoặc các đối tượng được kết nối hướng đến tự động hóa gia đình và nhà thông minh từ Vimar. Các mục tiêu cũng bao gồm bộ định tuyến Asus, LB-Link hoặc Huawei.
Để kiểm soát các thiết bị này, botnet khai thác lỗ hổng bảo mật zero-day. Đây là những lỗ hổng chưa được phát hiện, chưa nói đến việc được các nhà phát triển khắc phục. Đây là một lợi ích cho tội phạm mạng. Theo các chuyên gia, Gayfemboy khai thác hơn 20 lỗ hổng khác nhau.
Tin tặc đang khai thác một lỗ hổng vừa được phát hiện vào tháng trước, sau khá lâu kể từ khi botnet bắt đầu sử dụng nó. Lỗ hổng này cho phép kẻ tấn công khai thác thông tin xác thực mặc định của bộ định tuyến để thực hiện lệnh từ xa mà không cần bất kỳ xác thực nào. Trên thực tế, chúng kiểm soát hoàn toàn bộ định tuyến. Theo tin tức mới nhất, lỗ hổng này ảnh hưởng đến hơn 15.000 bộ định tuyến Four-Faith.
Botnet Gayfemboy dựa trên mã nguồn của Mirai, một phần mềm độc hại đáng gờm được xác định lần đầu tiên vào năm 2016. Ban đầu, nó chủ yếu nhắm vào các thiết bị IoT (Internet vạn vật), chẳng hạn như máy ảnh được kết nối, bộ định tuyến và các thiết bị thông minh khác, dựa vào thông tin xác thực mặc định hoặc mật khẩu yếu. Nó được biết đến với khả năng xóa sạch phần mềm độc hại cạnh tranh trên các thiết bị bị nhiễm để độc quyền mọi tài nguyên.
Mã nguồn đã nhanh chóng được công khai bởi những người tạo ra nó, cho phép những tên tội phạm mạng khác sửa đổi nó và tạo ra các biến thể đáng gờm, chẳng hạn như Mozi, Okiru hoặc Satori.
Hoạt động từ đầu năm ngoái, mạng botnet Gayfemboy chủ yếu hoạt động ở Trung Quốc, Hoa Kỳ, Nga, Thổ Nhĩ Kỳ và Iran. Mạng lưới hiện bao gồm 15.000 thiết bị bị nhiễm, nằm rải rác trên nhiều quốc gia khác nhau. Nó lây lan theo từng đợt gián đoạn.
Đây không phải là biến thể duy nhất của Mirai lây lan trên toàn thế giới. Vài ngày trước, các nhà nghiên cứu an ninh mạng tại Fortinet đã xác định được sự gia tăng mạnh mẽ các vụ lây nhiễm do Ficora thực hiện, một phiên bản khác của Mirai được thiết kế riêng để khai thác lỗ hổng trong bộ định tuyến D-Link.
Giống như Ficora, botnet mới được Chainxin X Lab xác định sử dụng các thiết bị bị xâm nhập để dàn dựng các cuộc tấn công DDoS (Từ chối dịch vụ phân tán). Thông qua mạng lưới các thiết bị đầu cuối bị tấn công, botnet sẽ làm ngập máy chủ của trang web mục tiêu bằng hàng loạt yêu cầu. Làn sóng yêu cầu này sẽ tạm thời làm tê liệt trang web mục tiêu.
Theo nguyên tắc, các cuộc tấn công botnet Gayfemboy không kéo dài lâu. Chúng không kéo dài quá 30 giây, nhưng lại đặc biệt mạnh mẽ. Ngay cả những máy chủ mạnh mẽ nhất cũng có khả năng bị sụp đổ dưới sự tấn công của mạng lưới tin tặc. Các nạn nhân chủ yếu ở Trung Quốc, Hoa Kỳ, Đức, Vương quốc Anh và Singapore, và đến từ nhiều ngành công nghiệp khác nhau.
Báo cáo của Chainxin X Lab cho biết, mỗi ngày, mạng lưới các thiết bị bị Gayfemboy xâm nhập tấn công hàng trăm thực thể khác nhau. Số lượng các cuộc tấn công đã bùng nổ đặc biệt trong khoảng thời gian từ tháng 10 đến tháng 11 năm 2024.
Nguồn: Chainxin X Lab
Trong số các mục tiêu ưa thích của mạng botnet là các bộ định tuyến từ các thương hiệu Four-Faith, Neterbit hoặc các đối tượng được kết nối hướng đến tự động hóa gia đình và nhà thông minh từ Vimar. Các mục tiêu cũng bao gồm bộ định tuyến Asus, LB-Link hoặc Huawei.
Lỗ hổng bảo mật zero-day bị khai thác
Để kiểm soát các thiết bị này, botnet khai thác lỗ hổng bảo mật zero-day. Đây là những lỗ hổng chưa được phát hiện, chưa nói đến việc được các nhà phát triển khắc phục. Đây là một lợi ích cho tội phạm mạng. Theo các chuyên gia, Gayfemboy khai thác hơn 20 lỗ hổng khác nhau.
Tin tặc đang khai thác một lỗ hổng vừa được phát hiện vào tháng trước, sau khá lâu kể từ khi botnet bắt đầu sử dụng nó. Lỗ hổng này cho phép kẻ tấn công khai thác thông tin xác thực mặc định của bộ định tuyến để thực hiện lệnh từ xa mà không cần bất kỳ xác thực nào. Trên thực tế, chúng kiểm soát hoàn toàn bộ định tuyến. Theo tin tức mới nhất, lỗ hổng này ảnh hưởng đến hơn 15.000 bộ định tuyến Four-Faith.
Một biến thể của botnet Mirai
Botnet Gayfemboy dựa trên mã nguồn của Mirai, một phần mềm độc hại đáng gờm được xác định lần đầu tiên vào năm 2016. Ban đầu, nó chủ yếu nhắm vào các thiết bị IoT (Internet vạn vật), chẳng hạn như máy ảnh được kết nối, bộ định tuyến và các thiết bị thông minh khác, dựa vào thông tin xác thực mặc định hoặc mật khẩu yếu. Nó được biết đến với khả năng xóa sạch phần mềm độc hại cạnh tranh trên các thiết bị bị nhiễm để độc quyền mọi tài nguyên.
Mã nguồn đã nhanh chóng được công khai bởi những người tạo ra nó, cho phép những tên tội phạm mạng khác sửa đổi nó và tạo ra các biến thể đáng gờm, chẳng hạn như Mozi, Okiru hoặc Satori.
Hoạt động từ đầu năm ngoái, mạng botnet Gayfemboy chủ yếu hoạt động ở Trung Quốc, Hoa Kỳ, Nga, Thổ Nhĩ Kỳ và Iran. Mạng lưới hiện bao gồm 15.000 thiết bị bị nhiễm, nằm rải rác trên nhiều quốc gia khác nhau. Nó lây lan theo từng đợt gián đoạn.
Đây không phải là biến thể duy nhất của Mirai lây lan trên toàn thế giới. Vài ngày trước, các nhà nghiên cứu an ninh mạng tại Fortinet đã xác định được sự gia tăng mạnh mẽ các vụ lây nhiễm do Ficora thực hiện, một phiên bản khác của Mirai được thiết kế riêng để khai thác lỗ hổng trong bộ định tuyến D-Link.
Điểm khởi đầu của các cuộc tấn công DDoS
Giống như Ficora, botnet mới được Chainxin X Lab xác định sử dụng các thiết bị bị xâm nhập để dàn dựng các cuộc tấn công DDoS (Từ chối dịch vụ phân tán). Thông qua mạng lưới các thiết bị đầu cuối bị tấn công, botnet sẽ làm ngập máy chủ của trang web mục tiêu bằng hàng loạt yêu cầu. Làn sóng yêu cầu này sẽ tạm thời làm tê liệt trang web mục tiêu.
Theo nguyên tắc, các cuộc tấn công botnet Gayfemboy không kéo dài lâu. Chúng không kéo dài quá 30 giây, nhưng lại đặc biệt mạnh mẽ. Ngay cả những máy chủ mạnh mẽ nhất cũng có khả năng bị sụp đổ dưới sự tấn công của mạng lưới tin tặc. Các nạn nhân chủ yếu ở Trung Quốc, Hoa Kỳ, Đức, Vương quốc Anh và Singapore, và đến từ nhiều ngành công nghiệp khác nhau.
Báo cáo của Chainxin X Lab cho biết, mỗi ngày, mạng lưới các thiết bị bị Gayfemboy xâm nhập tấn công hàng trăm thực thể khác nhau. Số lượng các cuộc tấn công đã bùng nổ đặc biệt trong khoảng thời gian từ tháng 10 đến tháng 11 năm 2024.
Nguồn: Chainxin X Lab
