GreyNoise, một nền tảng an ninh mạng chuyên thu thập và phân tích hàng triệu điểm dữ liệu từ các địa chỉ IP liên tục quét Internet, đã phát hiện ra một mạng botnet mới. Nền tảng này phát hiện ra rằng một mạng lưới các thiết bị bị xâm phạm đang tìm cách mở rộng bằng cách nhắm vào TVT NVMS9000 DVR, một đầu ghi video kỹ thuật số được sử dụng để giám sát video. Được phát triển bởi thương hiệu TVT Digital, sản phẩm cho phép bạn tập trung giám sát nhiều camera an ninh từ một máy tính bằng cách lưu trữ và quản lý video.
GreyNoise báo cáo rằng họ đã quan sát thấy «một đỉnh cao đáng kể – gấp 3 lần so với hoạt động thông thường — trong các nỗ lực khai thác máy ghi âm. Vào ngày 3 tháng 4, số lượng các cuộc tấn công đã bùng nổ với hơn 2.500 địa chỉ IP tham gia vào các nỗ lực chiếm quyền. Tháng trước, GreyNoise đã phát hiện ra 6600 địa chỉ IP khác nhau.
Sau khi chiếm được quyền kiểm soát các máy ghi âm, botnet sẽ sử dụng chúng để thực hiện các hoạt động độc hại, chẳng hạn như các cuộc tấn công DDoS. Tội phạm mạng cũng đang sử dụng mạng bị xâm phạm do chúng kiểm soát để khai thác tiền điện tử mà không có sự cho phép của chủ sở hữu. Hầu hết các cuộc tấn công mạng đều xuất phát từ Đài Loan, Nhật Bản và Hàn Quốc. Chúng chủ yếu nhắm vào các thiết bị ở Hoa Kỳ, Vương quốc Anh và Đức.
Để ngăn chặn các cuộc tấn công mạng, SSD Secure Disclosure khuyến cáo tất cả người dùng cài đặt phần mềm máy ghi âm phiên bản 1.3.4 trở lên. Như thường lệ, botnet phát triển mạnh do các thiết bị không được cập nhật. ngày an ninh gần đây. Đó là lý do tại sao việc giữ tất cả các thiết bị của bạn hoạt động bình thường là điều cần thiết. Nếu một trong những thiết bị của bạn đã lỗi thời và không được vá lỗi, thì đã đến lúc cân nhắc thay thế thiết bị đó.
Nguồn: Greynoise
Một lỗ hổng bảo mật nghiêm trọng đã bị khai thác
Để kiểm soát các đầu ghi hình, tội phạm mạng đang sử dụng một lỗ hổng bảo mật nghiêm trọng, được SSD Secure Disclosure, một công ty chuyên tìm lỗ hổng bảo mật, phát hiện vào năm ngoái. Phần mềm này «cung cấp cho những kẻ tấn công từ xa chưa xác thực nhiều thông tin về thiết bị, bao gồm — nhưng không giới hạn — công ty cho biết. Israel. Với dữ liệu này, rõ ràng là dễ dàng kiểm soát một thiết bị. Tin tặc có toàn quyền truy cập để chạy lệnh như thể họ là quản trị viên.GreyNoise báo cáo rằng họ đã quan sát thấy «một đỉnh cao đáng kể – gấp 3 lần so với hoạt động thông thường — trong các nỗ lực khai thác máy ghi âm. Vào ngày 3 tháng 4, số lượng các cuộc tấn công đã bùng nổ với hơn 2.500 địa chỉ IP tham gia vào các nỗ lực chiếm quyền. Tháng trước, GreyNoise đã phát hiện ra 6600 địa chỉ IP khác nhau.
Một mạng botnet gần với Mirai
Mạng botnet này dựa trên mã nguồn của Mirai, một phần mềm độc hại đáng gờm xuất hiện gần một thập kỷ trước. Virus này chủ yếu nhắm vào các thiết bị được kết nối, chẳng hạn như máy ảnh, bộ định tuyến và các thiết bị thông minh khác, lợi dụng thông tin đăng nhập mặc định hoặc mật khẩu yếu để hack chúng. Số lượng Các botnet dựa trên Mirai đã bùng nổ khi mã nguồn của loại virus này được công khai cho tất cả người dùng Internet. Một biến thể của Mirai đáng chú ý là Nguồn gốc của cuộc tấn công DDoS mạnh mẽ nhất từng thấy, đã bị Cloudflare ngăn chặn.Sau khi chiếm được quyền kiểm soát các máy ghi âm, botnet sẽ sử dụng chúng để thực hiện các hoạt động độc hại, chẳng hạn như các cuộc tấn công DDoS. Tội phạm mạng cũng đang sử dụng mạng bị xâm phạm do chúng kiểm soát để khai thác tiền điện tử mà không có sự cho phép của chủ sở hữu. Hầu hết các cuộc tấn công mạng đều xuất phát từ Đài Loan, Nhật Bản và Hàn Quốc. Chúng chủ yếu nhắm vào các thiết bị ở Hoa Kỳ, Vương quốc Anh và Đức.
Để ngăn chặn các cuộc tấn công mạng, SSD Secure Disclosure khuyến cáo tất cả người dùng cài đặt phần mềm máy ghi âm phiên bản 1.3.4 trở lên. Như thường lệ, botnet phát triển mạnh do các thiết bị không được cập nhật. ngày an ninh gần đây. Đó là lý do tại sao việc giữ tất cả các thiết bị của bạn hoạt động bình thường là điều cần thiết. Nếu một trong những thiết bị của bạn đã lỗi thời và không được vá lỗi, thì đã đến lúc cân nhắc thay thế thiết bị đó.
Nguồn: Greynoise
