New Condi malware builds DDoS botnet out of TP-Link AX21 routers
บอตเน็ต DDoS-as-a-Service ตัวใหม่ที่เรียกว่า Condi ปรากฏขึ้นในเดือนพฤษภาคม 2566 โดยใช้ช่องโหว่ในเราเตอร์ Wi-Fi TP-Link Archer AX21 (AX1800) เพื่อสร้างบอตในการโจมตี โดย AX1800 เป็นเราเตอร์ Wi-Fi 6 แบบ dual-band (2.4GHz + 5GHz) ซึ่งเป็นรุ่นยอดนิยมสำหรับ Linux ซึ่งมีขนาด bandwidth 1.8 Gbps ซึ่งใช้งานโดยผู้ใช้ตามบ้าน, สำนักงานขนาดเล็ก, ร้านค้า และร้านกาแฟ เป็นต้น บอตเน็ต Condi กำหนมเป้าหมายไปที่อุปกรณ์ใหม่ๆ เพื่อสร้างบอตเน็ต DDoS ที่มีประสิทธิภาพสูง ซึ่งมีบริการให้เช่าเพื่อโจมตีเว็บไซต์และบริการต่างๆได้ ยิ่งไปกว่านั้น ผู้โจมตีที่อยู่เบื้องหลังบอตเน็ต Condi ยังขายซอร์สโค้ดของมัลแวร์ ซึ่งเป็นวิธีการสร้างรายได้ที่ดีอีกวิธีหนึ่ง ซึ่งส่งผลให้มีการเพิ่มจำนวนของมัลแวร์มากขึ้นไปด้วยจากนำซอร์สโค้ดไปดัดแปลง
รายงาน Fortinet ฉบับใหม่ที่เผยแพร่ในวันนี้อธิบายว่าบอตเน็ต Condi ได้ใช้ช่องโหว่ CVE-2023-1389 ซึ่งเป็นการแทรกคำสั่งที่ไม่ได้รับการตรวจสอบสิทธิ์ที่มีความรุนแรงสูงและข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลใน API ของอินเทอร์เฟซการจัดการเว็บของเราเตอร์ นักวิจัยของ Zero Day Initiative (ZDI) ผู้ค้นพบข้อบกพร่องและรายงานไปยังผู้จำหน่ายอุปกรณ์เครือข่ายในเดือนมกราคม 2023 โดย TP-Link จะออกการอัปเดตความปลอดภัยในเดือนมีนาคมด้วยเวอร์ชัน 1.1.4 Build 20230219 Condi เป็นบอตเน็ต DDoS ตัวที่สองที่กำหนดเป้าหมายช่องโหว่นี้ หลังจากที่ Mirai เคยใช้ประโยชน์จากมันเมื่อปลายเดือนเมษายน และเพื่อจัดการกับการโจมตีที่ทับซ้อนกัน Condi มีกลไกที่พยายาม kill processes ที่เป็นของบอทเน็ตคู่แข่งที่รู้จัก ในขณะเดียวกันก็สามารถหยุดการทำงานของเวอร์ชันเก่าของตัวเองได้ด้วย
เนื่องจากบอตเน็ต Condi ไม่มีความสามารถในการคงอยู่ระหว่างการรีบูตอุปกรณ์ ผู้เขียนจึงตัดสินใจติดตั้ง wiper สำหรับไฟล์ต่อไปนี้ ซึ่งป้องกันไม่ให้อุปกรณ์ปิดหรือรีสตาร์ทได้ดังนี้ - /usr/sbin/reboot - /usr/bin/reboot - /usr/sbin/shutdown - /usr/bin/shutdown - /usr/sbin/poweroff - /usr/bin/poweroff - /usr/sbin/halt - /usr/bin/halt เราเตอร์ TP-Link ที่มีช่องโหว่นั้นจะถูกมัลแวร์จะสแกนหา IP สาธารณะที่มีพอร์ตเปิด 80 หรือ 8080 และส่งคำขอเจาะช่องโหว่แบบฮาร์ดโค้ดเพื่อดาวน์โหลดและเรียกใช้ remote shell script ที่ทำให้อุปกรณ์ใหม่ติดไวรัส Fortinet กล่าวว่าแม้ว่าตัวอย่างที่วิเคราะห์จะมีเครื่องสแกนสำหรับช่องโหว่ CVE-2023-1389 แต่ก็ยังสังเกตเห็นตัวอย่างบอตเน็ต Condi อื่นๆ โดยใช้ข้อบกพร่องที่แตกต่างกันในการโจมตี นอกจากนี้นักวิเคราะห์ยังพบตัวอย่างที่ใช้เชลล์สคริปต์กับซอร์ส ADB (Android Debug Bridge) ซึ่งอาจบ่งชี้ว่าบอตเน็ตแพร่กระจายผ่านอุปกรณ์ที่มีพอร์ต ADB เปิดอยู่ (TCP/5555) โดยสันนิษฐานว่านี่เป็นผลโดยตรงจากการที่ผู้โจมตีหลายคนซื้อซอร์สโค้ดของ Condi และปรับใช้ตามการโจมตีที่เหมาะสมกับแต่ละคน
https://www.bleepingcomputer.com/news/security/new-condi-malware-builds-ddos-botnet-out-of-tp-link-ax21-routers/