Realtek and Cacti flaws now actively exploited by malware botnets
Malware botnet หลายตัวกำลังใช้ช่องโหว่ของ Cacti และ Realtek ในแคมเปญที่ตรวจพบระหว่างเดือนมกราคมถึงมีนาคม 2566 เพื่อแพร่กระจายมัลแวร์ ShellBot และ Moobot ช่องโหว่ที่ใช้คือ CVE-2021-35394 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลใน Realtek Jungle SDK และ CVE-2022-46169 ซึ่งเป็นช่องโหว่ command injection ในเครื่องมือตรวจสอบการจัดการของ Cacti ช่องโหว่ทั้งสองนี้เคยถูกใช้โดยมัลแวร์บ็อตเน็ตตัวอื่นๆ มาแล้ว เช่น Fodcha, RedGoBot, Mirai, Gafgyt และ Mozi
Fortinet รายงานว่าการโจมตีของบ็อตเน็ตในปี 2023 ได้กำหนดเป้าหมายไปที่อุปกรณ์เน็ตเวิร์คเพื่อทำการโจมตีแบบ DDoS แม้ว่ารายงานของ Fortinet ไม่ได้ระบุว่าผู้ก่อภัยคุกคามเป็นรายเดียวกับผู้ที่แพร่กระจายบ็อตเน็ต Moobot และ ShellBot หรือไม่ แต่เพย์โหลดที่ใช้ถูกสังเกตว่าใช้ประโยชน์จากข้อบกพร่องเดียวกันในการโจมตี การโจมตีของ Moobot นั้นแตกต่างจาก Mirai ที่ถูกค้นพบครั้งแรกในเดือนธันวาคม พ.ศ. 2564 โดยมีเป้าหมายที่กล้อง Hikvision ในเดือนกันยายน พ.ศ. 2565 และได้มีการอัปเดตเวอร์ชันเพื่อกำหนดเป้าหมายใหม่ไปที่ยังช่องโหว่ของ D-Link RCE หลายรายการ เช่น CVE-2021-35394 และ CVE-2022-46169 เพื่อใช้แพร่กระจายบ็อตเน็ตไปยังโฮสต์ที่มีช่องโหว่ จากนั้นจะดาวน์โหลดสคริปต์ที่มีการกำหนดค่าและสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C2
ลักษณะที่โดดเด่นของ Moobot คือความสามารถในการ scan และ kill processes ของบ็อตเน็ตที่รู้จักตัวอื่นๆ เพื่อให้พวกตัวมันเองสามารถยึดเครื่องโฮสต์ไว้แต่เพียงผู้เดียวเพื่อทำการโจมตี DDoS ส่วนการโจมตีของ ShellBot นั้นถูกพบครั้งแรกในเดือนมกราคม 2023 และยังคงใช้งานอยู่ในปัจจุบัน โดยมุ่งเป้าไปที่ข้อช่องโหว่ของ Cacti เป็นหลัก ซึ่ง Fortinet ตรวจพบมัลแวร์ถึงสามรูปแบบซึ่งบ่งชี้ว่ากำลังอยู่ในช่วงพัฒนา การป้องกันบ็อตเน็ต Mootbot และ ShellBot คือการใช้รหัสผ่านของผู้ดูแลระบบที่รัดกุมและใช้การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าว หากอุปกรณ์ไม่สามารถทำการอัปเดตด้านความปลอดภัยได้ ควรเปลี่ยนเป็นรุ่นที่ใหม่กว่าเพื่อรองรับการอัปเดตด้านความปลอดภัย
https://www.bleepingcomputer.com/news/security/realtek-and-cacti-flaws-now-actively-exploited-by-malware-botnets/