Ngày 16 tháng 12 năm 2022Ravie LakshmananBảo mật máy chủ / Botnet
Microsoft hôm thứ Năm đã gắn cờ một mạng botnet đa nền tảng được thiết kế chủ yếu để khởi chạy các cuộc tấn công từ chối dịch vụ (DDoS) phân tán nhằm vào các máy chủ Minecraft riêng.
Gọi điện MCCrashbotnet được đặc trưng bởi một cơ chế lây lan độc đáo cho phép nó lan truyền đến các thiết bị dựa trên Linux mặc dù có nguồn gốc từ các bản tải xuống phần mềm độc hại trên máy chủ Windows.
“Mạng botnet lây lan bằng cách liệt kê các thông tin đăng nhập mặc định trên các thiết bị hỗ trợ Secure Shell (SSH) tiếp xúc với internet”, công ty cho biết trong một báo cáo. “Bởi vì các thiết bị IoT thường được kích hoạt để cấu hình từ xa với các cài đặt có khả năng không an toàn, các thiết bị này có thể gặp rủi ro trước các cuộc tấn công như mạng botnet này.”
Điều này cũng có nghĩa là phần mềm độc hại có thể tồn tại trên các thiết bị IoT ngay cả sau khi xóa nó khỏi PC nguồn bị nhiễm. Bộ phận an ninh mạng của gã khổng lồ công nghệ đang theo dõi cụm hoạt động dưới biệt danh mới nổi DEV-1028.
Phần lớn các trường hợp nhiễm bệnh đã được báo cáo ở Nga và ở mức độ thấp hơn ở Kazakhstan, Uzbekistan, Ukraine, Belarus, Czechia, Ý, Ấn Độ, Indonesia, Nigeria, Cameroon, Mexico và Columbia. Công ty không tiết lộ quy mô chính xác của chiến dịch.
Điểm lây nhiễm ban đầu của botnet là một nhóm máy đã bị xâm phạm thông qua việc cài đặt các công cụ bẻ khóa tuyên bố cung cấp giấy phép Windows bất hợp pháp.
Sau đó, phần mềm hoạt động như một đường dẫn để thực thi tải trọng Python chứa các tính năng cốt lõi của mạng botnet, bao gồm quét các thiết bị Linux hỗ trợ SSH để khởi chạy một cuộc tấn công từ điển.
Khi vi phạm máy chủ Linux bằng phương pháp lan truyền, cùng một tải trọng Python được triển khai để chạy các lệnh DDoS, một trong số đó được thiết lập đặc biệt để làm sập máy chủ Minecraft (“ATTACK_MCCRASH”).
Microsoft mô tả phương pháp này là “hiệu quả cao”, lưu ý rằng nó có khả năng được cung cấp như một dịch vụ trên các diễn đàn ngầm.
“Loại mối đe dọa này nhấn mạnh tầm quan trọng của việc đảm bảo rằng các tổ chức quản lý, cập nhật và giám sát không chỉ các điểm cuối truyền thống mà cả các thiết bị IoT thường kém an toàn hơn”, các nhà nghiên cứu David Atch, Maayan Shaul, Mae Dotan, Yuval Gordon và Ross Bevington nói.
Phát hiện này được đưa ra vài ngày sau khi Fortinet FortiGuard Labs tiết lộ chi tiết về một mạng botnet mới có tên là GoTrim, đã được quan sát thấy các trang web WordPress tự lưu trữ cưỡng bức.
